CVE-2023-51388

Versões do Hertzbeat anteriores à 1.4.1

O Hertzbeat é um sistema de monitoramento em tempo real. No CalculateAlarm.java, o AviatorEvaluator é usado para executar diretamente a função de expressão, e nenhuma política de segurança está configurada, resultando na injeção de script AviatorScript. Isso permite a execução de qualquer método estático por padrão.

Para versões anteriores à 1.4.1, atualize para a versão 1.4.1 para corrigir a vulnerabilidade. Como solução temporária, considere desativar a função AviatorEvaluator até que um patch esteja disponível. Restrinja o acesso ao módulo CalculateAlarm.java para minimizar o risco de exploração. Evite usar o AviatorEvaluator nos pontos de extremidade da API afetados até que o problema seja resolvido.