BDU:2024-05024

Опубликовано: 27 фев. 2024

Источник: fstec

CVSS3: 5.5

CVSS2: 5.2

EPSS Низкий

Описание

Уязвимость компонента Oozie Workflow Scheduler программного средства Apache Ambari связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить XXE-атаки

Вендор

Apache Software Foundation

Наименование ПО

Ambari

Версия ПО

до 2.7.7 (Ambari)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,2)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/qrt7mq7v7zyrh1qsh1gkg1m7clysvy32

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-50380
CVE

EPSS

Процентиль: 34%

0.00137

Низкий

5.5 Medium

CVSS3

5.2 Medium

CVSS2

Связанные уязвимости

CVE-2023-50380

CVSS3: 6.5

nvd

почти 2 года назад

XML External Entity injection in apache ambari versions <= 2.7.7, Users are recommended to upgrade to version 2.7.8, which fixes this issue. More Details: Oozie Workflow Scheduler had a vulnerability that allowed for root-level file reading and privilege escalation from low-privilege users. The vulnerability was caused through lack of proper user input validation. This vulnerability is known as an XML External Entity (XXE) injection attack. Attackers can exploit XXE vulnerabilities to read arbitrary files on the server, including sensitive system files. In theory, it might be possible to use this to escalate privileges.

GHSA-qrp9-23p7-g5mf