【漏洞预警】Apache inlong JDBC URL反序列化漏洞CVE-2023-46227(\t绕过)

2024年2月18日16:13:52评论26 views字数 500阅读1分40秒阅读模式

$【漏洞预警】Apache inlong JDBC URL反序列化漏洞CVE-2023-46227(\t绕过)$

漏洞描述：
Apache InLong 是开源的高性能数据集成框架，方便业务构建基于流式的数据分析、建模和应用。
受影响版本中，由于只对用户输入的 jdbc url 参数中的空格做了过滤，没有对其他空白字符过滤。具备 InLong Web 端登陆权限的攻击者可以使用t绕过对jdbcurl中autoDeserialize、allowUrlInLocalInfile、allowLoadLocalInfileInPath参数的检测，进而在MySQL客户端造成任意代码执行、任意文件读取等危害。

$【漏洞预警】Apache inlong JDBC URL反序列化漏洞CVE-2023-46227(\t绕过)$

影响范围：
org.apache.inlong:manager-pojo[1.4.0, 1.9.0)

修复方案：
将组件 org.apache.inlong:manager-pojo 升级至 1.9.0 及以上版本

参考链接：
https://github.com/apache/inlong/pull/8814/commits/b5c5cd8f674a76c6ad23973ad4f1c8b2d11a3605

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache inlong JDBC URL反序列化漏洞CVE-2023-46227(\t绕过)

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】Apache inlong JDBC URL反序列化漏洞CVE-2023-46227(\t绕过)

douphp代码执行漏洞

Apache Tomcat输入验证错误漏洞（CVE-2024-24549）

海康威视运行管理中心远程命令执行漏洞(fastjson)

大华智慧园区综合管理平台 pay 远程代码执行

开源数据大屏AJ-Report存在远程命令执行漏洞

瑞友天翼应用虚拟化系统index.php接口处存在SQL注入漏洞导致RCE

【0day】瑞友天翼应用虚拟化系统appsave存在SQL注入漏洞-复现

漏洞复现 | MetaCRM客户关系管理系统-任意文件上传漏洞【附poc】

电信网关配置管理系统存在弱口令

【漏洞复现】挂号系统-login-sql注入漏洞复现

发表评论

在线咨询

微信