Apache InLong < 1.12.0 JDBC反序列化漏洞 (CVE-2024-26579)

漏洞类型 反序列化 发现时间 2024-05-09 漏洞等级 高危
MPS编号 MPS-7rbq-ze46 CVE编号 CVE-2024-26579 漏洞影响广度

漏洞危害

OSCS 描述
Apache InLong 是开源的高性能数据集成框架,用于业务构建基于流式的数据分析、建模和应用。
受影响版本中,由于 MySQLSensitiveUrlUtils 类只限制了?形式的JDBC连接字符串参数,攻击者可通过()规避?引入autoDeserialize、allowLoadLocalInfile等额外的参数。并通过#注释后续内容,绕过从而此前修复过滤逻辑,在连接攻击者可控的服务地址时,攻击者可利用该漏洞远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-7rbq-ze46

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.inlong:inlong-manager [1.7.0, 1.12.0) 升级 将组件 org.apache.inlong:inlong-manager 升级至 1.12.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-7rbq-ze46

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-7rbq-ze46

https://nvd.nist.gov/vuln/detail/CVE-2024-26579

https://lists.apache.org/thread/d2hndtvh6bll4pkl91o2oqxyynhr54k3

https://github.com/apache/inlong/commit/a59a81425f4fd5ce601dc02b04f31a49e3eacbec

https://github.com/apache/inlong/commit/eef8d05b0bf61ea60a7ea5dfd31010c0b2bf57a8

https://github.com/apache/inlong/issues/9689

(0)
上一篇 2024年5月8日
下一篇 2024年5月10日

相关推荐

  • Smartbi 商业智能BI软件权限绕过漏洞【细节公开】

    漏洞类型 通过用户控制密钥绕过授权机制 发现时间 2023/8/1 漏洞等级 严重 MPS编号 MPS-el01-w76v CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在权限绕过问题,未授…

    2023年8月11日
    0
  • Apache Superset where_in SQL注入漏洞 (CVE-2023-49736)

    漏洞类型 SQL注入 发现时间 2023-12-20 漏洞等级 中危 MPS编号 MPS-7r6y-8nmd CVE编号 CVE-2023-49736 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个数据可视化和数据探索平台。 Apache Superset 中存在一个名为 where_in 的 JINJA 宏,where_…

    2023年12月20日
    0
  • GoAnywhere MFT 存在未授权创建管理员风险 (CVE-2024-0204)

    漏洞类型 直接请求(强制性浏览) 发现时间 2024-01-23 漏洞等级 严重 MPS编号 MPS-1vbo-mr9c CVE编号 CVE-2024-0204 漏洞影响广度 一般 漏洞危害 OSCS 描述 GoAnywhere MFT 是一个管理文件传输的解决方案。 GoAnywhere MFT 7.4.1之前版本中,未经过身份验证的攻击者可通过 Admi…

    2024年1月23日
    0
  • Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

    漏洞类型 输入验证不恰当 发现时间 2024-02-24 漏洞等级 严重 MPS编号 MPS-t2ir-al41 CVE编号 CVE-2024-23320 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Dolphinscheduler 是开源的分布式任务调度系统。 受影响版本中,由于 SwitchTaskUtils#generateConten…

    2024年2月26日
    0
  • curl 8.5.0 OCSP 验证绕过 (CVE-2024-0853)

    漏洞类型 证书撤销验证不恰当 发现时间 2024-01-31 漏洞等级 低危 MPS编号 MPS-phcs-y3ga CVE编号 CVE-2024-0853 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是用于在各种网络协议之间传输数据的命令行工具。 该漏洞导致即使在线证书状态协议(OCSP stapling)测试失败,curl也会在其缓存中保留SS…

    2024年1月31日
    0