CVE-2024-28847

Versões do OpenMetadata anteriores à 1.2.4

O problema está relacionado ao método AlertUtil::validateExpression, que pode levar à execução remota de código. Um invasor pode enviar uma solicitação PUT para “/api/v1/events/subscriptions” para explorar essa vulnerabilidade. O método prepare() é chamado a partir de EntityRepository.prepareInternal(), que, por sua vez, é chamado a partir de EntityResource.createOrUpdate(). Embora haja uma verificação de autorização, ela é chamada após a avaliação da expressão SpEL. Essa vulnerabilidade pode levar à execução remota de código e foi corrigida na versão 1.2.4.

Para resolver o problema, atualize para a versão 1.2.4 ou posterior.

Como solução alternativa temporária, considere desativar a função AlertUtil::validateExpression até que um patch esteja disponível.

Restrinja o acesso ao endpoint da API /api/v1/events/subscriptions para minimizar o risco de exploração.

Evite usar o parâmetro condition no endpoint da API afetado até que o problema seja resolvido.