BDU:2023-02861

Опубликовано: 21 мая 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость платформы интеграции данных Apache InLong связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и осуществить привязку произвольного кластера

Вендор

Apache Software Foundation

Наименование ПО

InLong

Версия ПО

от 1.2.0 до 1.6.0 включительно (InLong)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://lists.apache.org/thread/nqt1tr6pbq8q4b033d7sg5gltx5pmjgl

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-31454
CVE

EPSS

Процентиль: 34%

0.00141

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-31454

CVSS3: 7.5

nvd

больше 2 лет назад

Incorrect Permission Assignment for Critical Resource Vulnerability in Apache Software Foundation Apache InLong.This issue affects Apache InLong: from 1.2.0 through 1.6.0. The attacker can bind any cluster, even if he is not the cluster owner. Users are advised to upgrade to Apache InLong's 1.7.0 or cherry-pick [1] to solve it.[1] https://github.com/apache/inlong/pull/7947 https://github.com/apache/inlong/pull/7947

GHSA-rf76-whgp-fp56