【漏洞预警】Apache InLong jdbc url敏感参数校验绕过漏洞CVE-2023-43668

漏洞描述：

Apache InLong 是开源的高性能数据集成框架，方便业务构建基于流式的数据分析、建模和应用。

由于在mysql jdbc 8.0.11和8.0.12版本中，allowLoadLocalInFile、autoDeserizalize参数的默认值为true。

当 InLong 使用受影响的mysql连接器时，具备 InLong Web 端登陆权限的攻击者在配置jdbc url参数时，不需要额外配置的连接参数，可以直接利用漏洞，从而绕过敏感参数检查，造成任意命令执行、任意文件读取等危害。

影响范围：
org.apache.inlong:manager-pojo[1.4.0, 1.9.0)

修复方案：
将组件 org.apache.inlong:manager-pojo 升级至 1.9.0 及以上版本

参考链接：
https://github.com/ZhaoNiuniu/inlong/commit/5cd8084acd10feb0976a4dc534ac3fc41fc3c3af

https://seclists.org/oss-sec/2023/q4/113

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache InLong jdbc url敏感参数校验绕过漏洞CVE-2023-43668