漏洞描述:
Apache HertzBeat (incubating)是一个易于使用的开源实时监控系统,具有无代理(Agentless)、高性能集群、兼容prometheus、提供强大的自定义监控和状态页面构建功能,ApacheHertzBeat中修复SnakeYaml反序列化漏洞(CVE-2024-42323),该漏洞的CVSS评分为8.8。
Apache HertzBeat 1.6.0 之前版本中,由于使用了存在漏洞的SnakeYaml解析库,可能导致经过身份验证的威胁者通过恶意YAML数据/配置文件(被HertzBeat用于定义监控类型或其他关键配置)触发反序列化漏洞,从而导致远程代码执行。
影响范围:
Apache HertzBeat<1.6.0
安全措施:
升级版本
目前该漏洞已经修复,受影响用户可升级到Apache HertzBeat 1.6.0或更高版本
下载链接:
https://github.com/apache/hertzbeat/releases
临时措施:
暂无
参考链接:
https://lists.apache.org/thread/dwpwm572sbwon1mknlwhkpbom2y7skbx
https://github.com/apache/hertzbeat/pull/1239
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论