ГлавнаяБаза уязвимостей БДУ → BDU:2024-03260
9высокая

BDU:2024-03260

Уязвимость метода ‎AlertUtil::validateExpression (/api/v1/events/subscriptions) платформы для управления метаданными OpenMetadata, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-25
Описание

Уязвимость метода ‎AlertUtil::validateExpression (/api/v1/events/subscriptions) платформы для управления метаданными OpenMetadata связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
OpenMetadata (до 1.2.4)
Способ устранения

Обновление программного средства до версии 1.2.4 и выше

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://codeql.github.com/codeql-query-help/java/java-spel-expression-injection/https://github.com/open-metadata/OpenMetadata/blob/b6b337e09a05101506a5faba4b45d370cc3c9fc8/openmetadata-service/src/main/java/org/openmetadata/service/jdbi3/EntityRepository.java#L693https://github.com/open-metadata/OpenMetadata/blob/b6b337e09a05101506a5faba4b45d370cc3c9fc8/openmetadata-service/src/main/java/org/openmetadata/service/jdbi3/EventSubscriptionRepository.java#L69-L83https://github.com/open-metadata/OpenMetadata/blob/b6b337e09a05101506a5faba4b45d370cc3c9fc8/openmetadata-service/src/main/java/org/openmetadata/service/resources/EntityResource.java#L219https://github.com/open-metadata/OpenMetadata/blob/b6b337e09a05101506a5faba4b45d370cc3c9fc8/openmetadata-service/src/main/java/org/openmetadata/service/resources/events/subscription/EventSubscriptionResource.java#L289https://github.com/open-metadata/OpenMetadata/security/advisories/GHSA-8p5r-6mvv-2435https://vuldb.com/ru/?id.256996https://safe-surf.ru/upload/VULN-new/VULN.2024-04-26.1.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена