【漏洞预警】Apache InLong jdbc url敏感参数校验绕过漏洞CVE-2023-43668

2024年2月19日15:05:11评论25 views字数 536阅读1分47秒阅读模式

漏洞描述：

Apache InLong 是开源的高性能数据集成框架，方便业务构建基于流式的数据分析、建模和应用。

由于在mysql jdbc 8.0.11和8.0.12版本中，allowLoadLocalInFile、autoDeserizalize参数的默认值为true。

当 InLong 使用受影响的mysql连接器时，具备 InLong Web 端登陆权限的攻击者在配置jdbc url参数时，不需要额外配置的连接参数，可以直接利用漏洞，从而绕过敏感参数检查，造成任意命令执行、任意文件读取等危害。

影响范围：
org.apache.inlong:manager-pojo[1.4.0, 1.9.0)

修复方案：
将组件 org.apache.inlong:manager-pojo 升级至 1.9.0 及以上版本

参考链接：
https://github.com/ZhaoNiuniu/inlong/commit/5cd8084acd10feb0976a4dc534ac3fc41fc3c3af

https://seclists.org/oss-sec/2023/q4/113

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache InLong jdbc url敏感参数校验绕过漏洞CVE-2023-43668

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2024年2月19日15:05:11
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【漏洞预警】Apache InLong jdbc url敏感参数校验绕过漏洞CVE-2023-43668https://cn-sec.com/archives/2123146.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

【高危漏洞预警】Craft CMS generate-transform反序列化代码执行漏洞（CVE-2025-32432）