PT-2022-4972 · Apache · Apache Inlong
4Ra1N
+1
·
Publicado
2022-09-15
·
Atualizado
2025-05-29
·
CVE-2022-40955
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache InLong anteriores à 1.3.0
Descrição
A vulnerabilidade está relacionada à desserialização de dados não confiáveis nos parâmetros da URL de conexão JDBC do MySQL, podendo levar à execução remota de código no servidor Apache InLong. Um invasor com privilégios suficientes para especificar esses parâmetros e gravar dados arbitrários no banco de dados MySQL poderia explorar essa vulnerabilidade.
Recomendações
Para versões anteriores à 1.3.0, atualize para o Apache InLong 1.3.0 ou mais recente. Como solução temporária, considere restringir o acesso ao banco de dados MySQL e limitar os privilégios para especificar parâmetros de URL de conexão JDBC do MySQL até que um patch seja aplicado.
Correção
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Inlong