Apache Lucenenet 反序列化漏洞(CVE-2024-43383)
CVE编号
CVE-2024-43383利用情况
暂无补丁情况
N/A披露时间
2024-10-31漏洞描述
Apache Lucene.NET 是一个 .NET 平台的搜索引擎库,常用于为应用程序添加文本搜索功能。 在受影响的版本中 ReplicationService.cs 文件的 JsonSerializer 使用特定的 JSON_SERIALIZER_SETTINGS 进行反序列化,其中 JSON_SERIALIZER_SETTINGS 设置的为 TypeNameHandling.All,当 TypeNameHandling 设置为 All 时,反序列化过程会信任 JSON 数据中的 $type 字段,将允许 JSON 数据转化为不安全的类型,从而导致潜在的安全漏洞。 在修复版本中:1.移除了 JsonSerializerSettings,以此限制反序列化时的类型控制。2.ThrowKnownError 方法中将原来复杂的异常处理改为简单的异常抛出,减少复杂性从而降低因异常处理不当导致的安全问题。3.移除了 TextReader 和 JsonSerializer 直接处理输入流的反序列化逻辑,以有效防止触发反序列化攻击。解决建议
"将组件 lucenenet 升级至 4.8.0-beta00017 及以上版本"
参考链接 |
|
|---|---|
| https://lists.apache.org/thread/wlz1p76dxpt4rl9o29voxjd5zl7717nh |
- 攻击路径 相邻
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论