BDU:2024-03895

Опубликовано: 09 апр. 2024

Источник: fstec

CVSS3: 6.5

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость интерактивной браузерной среды для анализа и визуализации данных Apache Zeppelin SAP связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или вызвать отказ обслуживании с помощью специально сформированного XML-запроса

Вендор

Apache Software Foundation

Наименование ПО

Zeppelin

Версия ПО

от 0.8.0 до 0.11.0 (Zeppelin)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.openwall.com/lists/oss-security/2024/04/09/4

https://github.com/advisories/GHSA-rr59-h6rh-v84v

https://lists.apache.org/thread/h2027xxzfzn7lmxr2rog09qmpr1xnmw4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-47894
CVE

EPSS

Процентиль: 58%

0.00364

Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2022-47894

CVSS3: 5.3

nvd

почти 2 года назад

Improper Input Validation vulnerability in Apache Zeppelin SAP.This issue affects Apache Zeppelin SAP: from 0.8.0 before 0.11.0. As this project is retired, we do not plan to release a version that fixes this issue. Users are recommended to find an alternative or restrict access to the instance to trusted users. For more information, the fix already was merged in the source code but Zeppelin decided to retire the SAP component NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

GHSA-rr59-h6rh-v84v