CVE-2024-55238

Опубликовано: 17 апр. 2025

Источник: nvd

CVSS3: 7.1

CVSS3: 8.8

EPSS Низкий

Описание

OpenMetadata <=1.4.1 is vulnerable to SQL Injection. An attacker can extract information from the database in function listCount in the WorkflowDAO interface. The workflowtype and status parameters can be used to build a SQL query.

Ссылки

https://gist.github.com/javadk/68c597cdb94768dab31a3219c2ad9904
Exploit
Third Party Advisory
https://github.com/open-metadata/OpenMetadata/blob/98945cb2db87ebb325d3a72131f049abffcba345/openmetadata-service/src/main/java/org/openmetadata/service/jdbi3/CollectionDAO.java#L4243
Product
https://github.com/open-metadata/OpenMetadata/blob/98945cb2db87ebb325d3a72131f049abffcba345/openmetadata-service/src/main/java/org/openmetadata/service/jdbi3/CollectionDAO.java#L4247
Product
https://gist.github.com/javadk/68c597cdb94768dab31a3219c2ad9904
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:open-metadata:openmetadata:*:*:*:*:*:*:*:*

Версия до 1.4.1 (включая)

EPSS

Процентиль: 22%

0.00073

Низкий

7.1 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-x8pm-wrg2-mqmx

CVSS3: 7.1

github

10 месяцев назад

OpenMetadata SQL Injection

EPSS

Процентиль: 22%

0.00073

Низкий

7.1 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-89