Graylog2-server 容易受到 API 请求触发的任意类实例化的影响 (CVE-2024-24824)
CVE编号
CVE-2024-24824利用情况
暂无补丁情况
N/A披露时间
2024-02-08漏洞描述
Graylog是一个免费且开放的日志管理平台。在2.0.0版本及之前的版本中(优于5.1.11和5.2.4版本),通过对`/api/system/cluster_config/`端点发送HTTP PUT请求,可以加载和实例化任意类。Graylog的集群配置系统将全限定类名作为配置键。为了验证在使用这些类之前请求的类是否存在,Graylog使用类加载器加载类。如果具有适当权限的用户执行请求,则可以实例化具有1个参数的任意类。这将在类实例化期间执行任意代码。在特殊情况下,对于`java.io.File`,内部Web服务器堆栈的行为会导致信息暴露,将整个文件内容包含在对REST请求的响应中。版本5.1.11和5.2.4中修复了此问题。解决建议
"将组件 org.graylog2:graylog2-server 升级至 5.1.11 及以上版本""将组件 org.graylog2:graylog2-server 升级至 5.2.4 及以上版本"- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-284 | 访问控制不恰当 |
| CWE-863 | 授权机制不正确 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论