Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00212

Опубликовано: 02 апр. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость плагина java-plugin-runner облачного API-шлюза Apache APISIX связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

java-plugin-runner

Версия ПО

от 0.2.0 до 0.5.0 включительно (java-plugin-runner)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://lists.apache.org/thread/qwxnxolt0j5nvjfpr0mlz6h7nrtvyzng
https://github.com/apache/apisix-java-plugin-runner/tree/main/runner-plugin
Обновление плагина java-plugin-runner до версии 0.6.0 или выше.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00014
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-27446

CVSS3: 7.8
nvd
7 месяцев назад

Incorrect Permission Assignment for Critical Resource vulnerability in Apache APISIX(java-plugin-runner). Local listening file permissions in APISIX plugin runner allow a local attacker to elevate privileges. This issue affects Apache APISIX(java-plugin-runner): from 0.2.0 through 0.5.0. Users are recommended to upgrade to version 0.6.0 or higher, which fixes the issue.

github логотип

GHSA-xm8v-g828-5x9r

CVSS3: 7.8
github
7 месяцев назад

Incorrect Permission Assignment for Critical Resource vulnerability in Apache APISIX(java-plugin-runner). Local listening file permissions in APISIX plugin runner allow a local attacker to elevate privileges. This issue affects Apache APISIX(java-plugin-runner): from 0.2.0 through 0.5.0. Users are recommended to upgrade to version 0.6.0 or higher, which fixes the issue.

EPSS

Процентиль: 2%
0.00014
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2