Apache Lucenenet 反序列化漏洞(CVE-2024-43383)

admin 2024-11-03 01:23:43 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Apache Lucenenet 反序列化漏洞(CVE-2024-43383)

CVE编号

CVE-2024-43383

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-31
漏洞描述
Apache Lucene.NET 是一个 .NET 平台的搜索引擎库,常用于为应用程序添加文本搜索功能。 在受影响的版本中 ReplicationService.cs 文件的 JsonSerializer 使用特定的 JSON_SERIALIZER_SETTINGS 进行反序列化,其中 JSON_SERIALIZER_SETTINGS 设置的为 TypeNameHandling.All,当 TypeNameHandling 设置为 All 时,反序列化过程会信任 JSON 数据中的 $type 字段,将允许 JSON 数据转化为不安全的类型,从而导致潜在的安全漏洞。 在修复版本中:1.移除了 JsonSerializerSettings,以此限制反序列化时的类型控制。2.ThrowKnownError 方法中将原来复杂的异常处理改为简单的异常抛出,减少复杂性从而降低因异常处理不当导致的安全问题。3.移除了 TextReader 和 JsonSerializer 直接处理输入流的反序列化逻辑,以有效防止触发反序列化攻击。
解决建议
"将组件 lucenenet 升级至 4.8.0-beta00017 及以上版本"
参考链接
https://lists.apache.org/thread/wlz1p76dxpt4rl9o29voxjd5zl7717nh
CVSS3评分 8.0
  • 攻击路径 相邻
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0