CVE-2023-49566

Опубликовано: 15 июл. 2024

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

In Apache Linkis <=1.5.0, due to the lack of effective filtering of parameters, an attacker configuring malicious

db2

parameters in the DataSource Manager Module will result in jndi injection. Therefore, the parameters in the DB2 URL should be blacklisted.

This attack requires the attacker to obtain an authorized account from Linkis before it can be carried out.

Versions of Apache Linkis

<=1.5.0

will be affected. We recommend users upgrade the version of Linkis to version 1.6.0.

Ссылки

https://lists.apache.org/thread/t68yy52lmv7pxgrxnq6rw7rwvk9tb1xj
Mailing List
Vendor Advisory
http://www.openwall.com/lists/oss-security/2024/07/13/5
https://lists.apache.org/thread/t68yy52lmv7pxgrxnq6rw7rwvk9tb1xj
Mailing List
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:linkis:*:*:*:*:*:*:*:*

Версия от 1.4.0 (включая) до 1.6.0 (исключая)

EPSS

Процентиль: 67%

0.0053

Низкий

8.8 High

CVSS3

Дефекты

CWE-502

Связанные уязвимости

GHSA-7qpc-4xx9-x5qw

CVSS3: 8.8

github

больше 1 года назад

Apache Linkis DataSource's JDBC Datasource Module with DB2 has JNDI Injection vulnerability

BDU:2024-05629

CVSS3: 8.8

fstec

больше 1 года назад

Уязвимость модуля DataSource Manager программного средства соединения, управления и оркестрации приложений Apache Linkis, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 67%

0.0053

Низкий

8.8 High

CVSS3

Дефекты

CWE-502