PT-2024-20112 · Unknown+3 · Openrefine+3
L0N3Rs
·
Publicado
2024-02-12
·
Atualizado
2025-02-10
·
CVE-2024-23833
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenRefine <= 3.7.7
Descrição
Existe uma vulnerabilidade de ataque JDBC no OpenRefine, na qual um invasor pode construir uma consulta JDBC para ler arquivos no sistema de arquivos do host. Essa vulnerabilidade permite que invasores leiam arquivos confidenciais no servidor de destino; no entanto, devido à biblioteca de drivers MySQL mais recente na versão mais atual do OpenRefine, a execução de código original não pode ser realizada.
Recomendações
Para versões do OpenRefine <= 3.7.7, atualize para a versão 3.7.8 para resolver o problema.
Como solução temporária, considere restringir o acesso à conexão JDBC para minimizar o risco de exploração.
Evite usar os parâmetros
allowLoadLocalInfile e allowUrlInLocalInfile na string de conexão JDBC até que o problema seja resolvido.Exploit
Correção
Incorrect Authorization
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Linuxmint
Openrefine
Ubuntu