Apache InLong updateAuditSource方法命令注入漏洞(CVE-2023-51784)
CVE编号
CVE-2023-51784利用情况
暂无补丁情况
N/A披露时间
2024-01-03漏洞描述
Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计数据写到 MySQL、Elasticsearch、ClickHouse中的一个子系统。 Apache InLong 1.5.0至1.9.0版本中,由于 updateAuditSource 方法未对用户可控的参数有效过滤,攻击者可在更新 Audit source 时传入恶意的 Audit source URL 导致远程执行任意代码。解决建议
"将 org.apache.inlong:manager-web 升级至 1.10.0 及以上版本""将组件 org.apache.inlong:manager-pojo 升级至 1.10.0 及以上版本"
参考链接 |
|
|---|---|
| http://www.openwall.com/lists/oss-security/2024/01/03/1 | |
| https://lists.apache.org/thread/4nxbyl6mh5jgh0plk0qposbxwn6w9h8j |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-94 | 对生成代码的控制不恰当(代码注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论