【漏洞通告】Netflix Genie文件上传路径遍历漏洞安全风险通告

admin 2024年5月24日22:34:02评论7 views字数 930阅读3分6秒阅读模式
漏洞背景

近日,嘉诚安全监测到Netflix Genie文件上传中存在一个路径遍历漏洞,漏洞编号为:CVE-2024-4701

 

Genie是Netflix开发的开源分布式作业编排引擎,提供REST-ful API来运行各种大数据作业,例如Hadoop、Pig、Hive、Spark、Presto、Sqoop等,还提供API用于管理许多分布式处理集群的元数据以及在集群上运行的命令和应用程序。

 

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

 

漏洞详情

经研判,该漏洞为高危漏洞,且漏洞细节及PoC已公开。由于Genie的API接受multipart/form-data文件上传并可将文件保存到磁盘上,但在将文件写入磁盘时会使用用户提供的文件名,由于文件名是由用户控制,攻击者可操纵文件名执行路径遍历攻击,利用该漏洞将文件(如恶意共享对象文件)写入文件系统上Java进程具有写访问权限的任意位置,从而导致远程代码执行。

 

危害影响

影响范围:

Genie OSS < 4.3.18

 

处置建议

目前该漏洞已经修复,受影响用户可升级到Genie OSS 4.3.18或更高版本。

下载链接:

https://github.com/Netflix/genie/tags

参考链接:

https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2024-001.md

https://github.com/Netflix/genie/security/advisories/GHSA-wpcv-5jgp-69f3

https://www.contrastsecurity.com/security-influencers/contrast-security-discovers-netflix-oss-genie-application-path-traversal-vulnerability-that-can-lead-to-rce-during-file-upload

原文始发于微信公众号(嘉诚安全):【漏洞通告】Netflix Genie文件上传路径遍历漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月24日22:34:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Netflix Genie文件上传路径遍历漏洞安全风险通告https://cn-sec.com/archives/2773941.html

发表评论

匿名网友 填写信息