BDU:2025-06400

Опубликовано: 11 фев. 2025

Источник: fstec

CVSS3: 9.1

CVSS2: 9.4

EPSS Низкий

Описание

Уязвимость платформы интеграции данных Apache InLong связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и получить доступ на чтение произвольных файлов

Вендор

Apache Software Foundation

Наименование ПО

InLong

Версия ПО

от 1.13.0 до 2.2.0 (InLong)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/apache/inlong/commit/48c2f5cad4a92be2c3561174d70cdbc91a2d2626

https://lists.apache.org/thread/b807rqzgyv4qgvxw3nhkq8tl6g90gqgj

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-27528
CVE

EPSS

Процентиль: 36%

0.0015

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

CVE-2025-27528

CVSS3: 9.1

nvd

9 месяцев назад

Deserialization of Untrusted Data vulnerability in Apache InLong. This issue affects Apache InLong: from 1.13.0 through 2.1.0. This vulnerability allows attackers to bypass the security mechanisms of InLong JDBC and leads to arbitrary file reading. Users are advised to upgrade to Apache InLong's 2.2.0 or cherry-pick [1] to solve it. [1] https://github.com/apache/inlong/pull/11747

GHSA-98v7-xxxv-hcrh

github