CVE-2024-24824

Versões do Graylog 2.0.0 a 5.1.10

Versões do Graylog 5.2.0 a 5.2.3

A vulnerabilidade permite que classes arbitrárias sejam carregadas e instanciadas por meio de uma solicitação HTTP PUT para o endpoint “/api/system/cluster config/”. O sistema de configuração de cluster do Graylog utiliza nomes de classe totalmente qualificados como chaves de configuração e, para validar a existência da classe solicitada, o Graylog carrega a classe utilizando o carregador de classes. Se um usuário com as permissões adequadas realizar a solicitação, classes arbitrárias com construtores String de 1 argumento podem ser instanciadas, executando código arbitrário durante a instanciação da classe. No caso de uso específico de java.io.File, o comportamento da pilha interna do servidor web levará à exposição de informações ao incluir todo o conteúdo do arquivo na resposta à solicitação REST.

Para as versões 2.0.0 a 5.1.10 do Graylog, atualize para a versão 5.1.11 ou posterior.

Para as versões 5.2.0 a 5.2.3 do Graylog, atualize para a versão 5.2.4 ou posterior.

Como solução temporária, considere restringir o acesso ao endpoint “/api/system/cluster config/” para minimizar o risco de exploração.

Restrinja o acesso à classe java.io.File para evitar a exposição de informações.

Certifique-se de que apenas usuários autorizados com as permissões clusterconfigentry:create e clusterconfigentry:edit possam realizar solicitações ao endpoint vulnerável.