اخیرأ دو آسیبپذیری با شدت بالا در برخی محصولات Apache کشف شداست آسیبپذیری اول با شناسه CVE-2023-49068 امکان افشای اطلاعات حساس را برای مهاجم فراهم میآورد. این آسیبپذیری که در Apache DolphinScheduler کشف شد، باعث میشود اطلاعات حساس در اختیار کاربرانی قرار گیرد که مجاز به دسترسی به آنها اطلاعات نیستند. این آسیبپذیری محرمانگی را تحت تأثیر خود قرار میدهد. آسیبپذیری دوم با شناسه CVE-2023-49145 و شدت 7.9، امکان حمله XSS مبتنی بر DOM از طریق پردازنده JoltTransformJSONرا برای مهاجم فراهم میآورد. این آسیبپذیری که بهدلیل خنثیسازی نامناسب ورودی در رابط کاربری پیشرفته (Advanced User Interface) در Jolt در Apache NiFi رخ میدهد، در صورتی که کاربر احراز هویت شده مجوز پیکربندی یک پردازنده JoltTransformJSON را داشته باشد، با بازدید از یک URL دستکاری شده، میتوان کد جاوا اسکریپت دلخواه را در محتوای نشست این کاربر (کاربر احراز هویت شده) اجرا کرد.
Apache NiFi یک فریمورک جهت توسعه خطوط لوله پردازش (processing pipelines) با استفاده از اجزای استاندارد و سفارشی فراهم میکند. این فریمورک از مجوزهای قابل تنظیم پشتیبانی میکند که کاربران مجاز را قادر میسازد کد را با استفاده از چندین مؤلفه استاندارد اجرا کنند. اجزایی مانند ExecuteProcess وExecuteStreamCommand از اجرای دستورات سیستمعامل پشتیبانی میکنند، در حالی که سایر اجزای اسکریپت از اجرای کد سفارشی با استفاده از زبانهای برنامهنویسی مختلف پشتیبانی میکنند.
محصولات تحت تأثیر
این آسیبپذیری محصول Apache DolphinScheduler نسخه قبل از 3.2.1 و محصول Apache NiFi نسخههای 0.7.0 تا 1.23.2را تحت تأثیر خود قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Apache DolphinScheduler به نسخه 3.2.1 و Apache NiFi به نسخههای 1.24.0 یا 2.0.0-M1 اقدام نمایند.
منابع خبر:
[1] https://lists.apache.org/thread/jn6kr6mjdgtfgpxoq9j8q4pkfsq8zmpq
- 38