ГлавнаяБаза уязвимостей БДУ → BDU:2024-02655
9.7критическая

BDU:2024-02655

Уязвимость платформы для управления метаданными OpenMetadata, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-06
Описание

Уязвимость платформы для управления метаданными OpenMetadata связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданного запроса PUT

Затрагиваемое ПО и версии
OpenMetadata (до 1.3.1)
Способ устранения

Обновление программного средства до версии 1.3.1 и выше

Оценка CVSS
Балл9.7 — критическая опасность
Источники и патчи
https://codeql.github.com/codeql-query-help/java/java-spel-expression-injectionhttps://github.com/open-metadata/OpenMetadata/blob/b6b337e09a05101506a5faba4b45d370cc3c9fc8/openmetadata-service/src/main/java/org/openmetadata/service/jdbi3/EntityRepository.java#L693https://github.com/open-metadata/OpenMetadata/blob/b6b337e09a05101506a5faba4b45d370cc3c9fc8/openmetadata-service/src/main/java/org/openmetadata/service/resources/EntityResource.java#L219https://github.com/open-metadata/OpenMetadata/blob/b6b337e09a05101506a5faba4b45d370cc3c9fc8/openmetadata-service/src/main/java/org/openmetadata/service/resources/policies/PolicyResource.java#L365https://github.com/open-metadata/OpenMetadata/blob/main/openmetadata-service/src/main/java/org/openmetadata/service/jdbi3/PolicyRepository.java#L113https://github.com/open-metadata/OpenMetadata/security/advisories/GHSA-7vf4-x5m2-r6grhttps://security.snyk.io/vuln/SNYK-JAVA-ORGOPENMETADATA-6457291
Проверьте безопасность своего сайта и почты → Полная проверка домена