PT-2024-24248 · Apache · Apache Zeppelin
Kai Zhao
·
Publicado
2024-04-09
·
Atualizado
2025-05-06
·
CVE-2024-31860
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Zeppelin de 0.9.0 a 0.10.x
Descrição
O problema está relacionado a uma validação inadequada de entradas, permitindo que invasores acessem arquivos no sistema de arquivos ao adicionar indicadores de caminho relativo (por exemplo,
..). Isso permite que eles visualizem o conteúdo de quaisquer arquivos aos quais a conta do servidor tenha acesso.Recomendações
Para as versões do Apache Zeppelin 0.9.0 a 0.10.x, atualize para a versão 0.11.0 para corrigir o problema.
Correção
Path traversal
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Zeppelin