Apache Camel JDBCAggregationRepository反序列化漏洞 (CVE-2024-22369)

漏洞类型 反序列化 发现时间 2024-02-20 漏洞等级 高危
MPS编号 MPS-03tm-wyhp CVE编号 CVE-2024-22369 漏洞影响广度

漏洞危害

OSCS 描述
Apache Camel 是开源的系统间数据交互集成框架。
在受影响版本中,由于对JDBCAggregationRepository中exchange的实现存在未限制的反序列化逻辑,当攻击者可控制数据库中exchange字段值时,可以反序列化任意类,造成任意代码执行。
在修复版本中,通过校验逻辑限制其仅允许反序列化java及camel自身类。
参考链接:https://www.oscs1024.com/hd/MPS-03tm-wyhp

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.camel:camel-sql [3.0.0, 3.21.4) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
org.apache.camel:camel-sql [3.22.0, 3.22.1) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
org.apache.camel:camel-sql [4.0.0, 4.0.4) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
org.apache.camel:camel-sql [4.1.0, 4.4.0) 升级 升级org.apache.camel:camel-sql到3.21.4、3.22.1、4.0.4、4.4.0或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-03tm-wyhp

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-03tm-wyhp

https://issues.apache.org/jira/browse/CAMEL-20303

https://www.cve.org/CVERecord?id=CVE-2024-22369

https://lists.apache.org/thread/3dko781dy2gy5l3fs48p56fgp429yb0f

(0)
上一篇 2024年2月16日 下午12:00
下一篇 2024年2月20日 下午8:00

相关推荐

  • VMware Aria Operations SSH 身份验证绕过漏洞 (CVE-2023-34039)

    漏洞类型 身份验证不当 发现时间 2023-08-30 漏洞等级 严重 MPS编号 MPS-d9wr-56qm CVE编号 CVE-2023-34039 漏洞影响广度 广 漏洞危害 OSCS 描述 VMware Aria Operations for Networks 是 VMware 公司提供的一款网络可视性和分析工具,用于优化网络性能或管理各种VMwar…

    2023年9月1日
    0
  • Apache Accumulo 身份认证过程缺陷 (CVE-2023-34340)

    漏洞类型 身份验证不当 发现时间 2023/6/21 漏洞等级 中危 MPS编号 MPS-5l0p-exd9 CVE编号 CVE-2023-34340 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Accumulo是一个排序分布式的 Key-Value 存储应用。在Apache Accumulo 2.1.0版本中,AccumuloClient …

    2023年8月30日
    0
  • Apache Submarine 存在反序列化漏洞 (CVE-2023-46302)

    漏洞类型 反序列化 发现时间 2023-11-19 漏洞等级 严重 MPS编号 MPS-qp4a-wcgl CVE编号 CVE-2023-46302 漏洞影响广度 漏洞危害 OSCS 描述 Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。 Ap…

    2023年11月21日
    0
  • Atlassian Confluence Data Center/Server 身份验证不当漏洞 (CVE-2023-22518)

    漏洞类型 授权机制不恰当 发现时间 2023-10-31 漏洞等级 严重 MPS编号 MPS-2023-0019 CVE编号 CVE-2023-22518 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由 Atlassian 开发的知识管理与协同软件,旨在帮助团队协作、共享信息和创建文档。 Confluence Data Center…

    2023年11月1日
    0
  • Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

    漏洞类型 反序列化 发现时间 2023-10-31 漏洞等级 高危 MPS编号 MPS-2lgp-otxu CVE编号 CVE-2023-45672 漏洞影响广度 一般 漏洞危害 OSCS 描述 Frigate 是一个基于实时AI目标检测的开源NVR。 v0.13.0 Beta 3 之前版本中,由于 builtin.py#load_config_with_n…

    2023年10月31日
    0