СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
07.03.2024

Уязвимость BDU:2024-03261

Уязвимость BDU:2024-03261

Идентификатор: BDU:2024-03261.

Наименование уязвимости: Уязвимость метода ‎AlertUtil::validateExpression (/api/v1/events/subscriptions/validation/condition/) платформы для управления метаданными OpenMetadata, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость метода ‎AlertUtil::validateExpression (/api/v1/events/subscriptions/validation/condition/) платформы для управления метаданными OpenMetadata связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем OpenMetadata OpenMetadata до 1.2.4 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 07.03.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Обновление программного средства до версии 1.2.4 и выше.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-28254.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://codeql.github.com/codeql-query-help/java/java-spel-expression-injection/
https://github.com/open-metadata/OpenMetadata/blob/84054a85d3478e3e3795fe92daa633ec11c9d6d9/openmetadata-service/src/main/java/org/openmetadata/service/events/subscription/AlertUtil.java#L101
https://github.com/open-metadata/OpenMetadata/blob/84054a85d3478e3e3795fe92daa633ec11c9d6d9/openmetadata-service/src/main/java/org/openmetadata/service/events/subscription/AlertUtil.java#L108
https://github.com/open-metadata/OpenMetadata/security/advisories/GHSA-j86m-rrpr-g8gw
https://github.com/spring-projects/spring-framework/blob/4e2d3573189b7c0afce62bce29cd915de4077f56/spring-expression/src/main/java/org/springframework/expression/spel/standard/SpelExpression.java#L106
https://vuldb.com/ru/?id.256995
https://www.cybersecurity-help.cz/vdb/SB2024042222
https://safe-surf.ru/upload/VULN-new/VULN.2024-04-26.1.pdf

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: