CVE-2024-28254

Versões do OpenMetadata anteriores à 1.2.4

A vulnerabilidade está relacionada ao método AlertUtil::validateExpression, que avalia uma expressão SpEL utilizando getValue com o StandardEvaluationContext, permitindo a interação com classes Java, como java.lang.Runtime, e levando à execução remota de código. O endpoint /api/v1/events/subscriptions/validation/condition/<expression> passa dados controlados pelo usuário para AlertUtil::validateExpression, permitindo que usuários autenticados não administradores executem comandos de sistema arbitrários no sistema operacional subjacente devido à falta de uma verificação de autorização. Isso pode levar à execução remota de código.

Para versões anteriores à 1.2.4, atualize para a versão 1.2.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint /api/v1/events/subscriptions/validation/condition/<expression> e desativar o método AlertUtil::validateExpression até que um patch esteja disponível. Além disso, restrinja o uso da classe java.lang.Runtime para minimizar o risco de exploração.