CVE-2023-46227 Apache inlong JDBC URL反序列化漏洞

最新推荐文章于 2023-11-30 06:53:58 发布
最新推荐文章于 2023-11-30 06:53:58 发布
阅读量451 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/134013516
版权

项目介绍

Apache InLong(应龙)是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。

项目地址

https://inlong.apache.org/

漏洞概述

受影响版本中,由于只对用户输入的 jdbc url 参数中的空格做了过滤,没有对其他空白字符过滤。具备 InLong Web 端登陆权限的攻击者可以使用\t绕过对 jdbc url 中autoDeserialize、allowUrlInLocalInfile、
allowLoadLocalInfileInPath参数的检测,进而在MySQL客户端造成任意代码执行、任意文件读取等危害。

影响版本

1.4.0 <= Apache InLong < 1.8.0

漏洞分析

对比修复patch,发现新版本inlong对jdbc url中的空白字符进行了彻底过滤。

右侧的InlongConstants.REGEX_WHITESPACE是定义的常量,\\s 是正则表达式,含义是匹配全部空白字符。

修复方式

目前官方已经修复该漏洞,请用户将组件
org.apache.inlong:manager-pojo 升级至 1.9.0 及以上版本。

链接地址

  • https://www.cve.org/CVERecord?id=CVE-2023-46227
  • https://github.com/apache/inlong/pull/8814
棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache InLong 反序列化漏洞
OSCS开源安全社区
09-21 1197
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。受影响版本 Apache InLong 中 MySQL 中数据在反序列化时缺少过滤,导致能指定 MySQL JDBC 连接 URL 参数的攻击者可能会在 Apache InLong 服务器上执行远程代码。将组件 org.apache.inlong:manager-pojo 升级至 1.3.0 及以上版本。Apache InLong 是一款针对海量数据的一站式集成框架。
通过CVE-2021-43297漏洞Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1635
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
【高危】Apache Inlong 存在JDBC反序列化漏洞
murphysec的博客
06-07 1367
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3148
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
网络安全漏洞安全】反序列化漏洞深入分析
kali_Ma的博客
10-10 399
反序列化漏洞深入分析
Java反序列化漏洞分析合集-2
Aiwin的博客
10-24 263
关于Snakeyaml、xstream、c3p0、Rome、Hibernate、Jackson反序列化链子的详细分析。
红队专题-漏洞挖掘代码审计-RCE-SSRF
aming小老弟
11-30 1331
可以进行批量存活扫描和目录扫描 ------>在好几个站下面发现web.zip备份文件。可以看到,传入进来的密码是RSA类型,先进行了一次RSA解密,然后进行了一次DES加密。经过之前的审计,发现了很多接口都存在漏洞,现在成功登录了。岂不是随便getshell。但是登录过程中,密码是RSA加密过后传输的,而后端居然是33位的md5加密。密码传入后,调用了CommFun.EnPwd进行了一次加密。某方法接收了两个参数,却只对一个参数进行了过滤。该方法需要提供绝对路径----->跟踪相关参数。
p85 CTF夺旗-JAVA考点反编译&XXE&反序列化
weixin_43263566的博客
03-28 1764
p85 CTF夺旗-JAVA考点反编译&XXE&反序列化
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8416
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
08-25
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
JAVA版基于netty的物联网高并发智能网关
最新发布
08-25
JAVA版基于netty的物联网高并发智能网关
粮食波动率等相关农业数据(2011-2022)(全新整理)
08-25
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141441802 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 数据内容: 1.人均粮食产量 2.粮食总产量 3.粮食产量波动率((当年粮食产量-历年粮食产量均值)/均值):粮食生产受自然因素和市场等经济社会因素影响较大,常常表现出一定的波动。粮食产量波动率是衡量粮食生产稳定能力的重要指标之一。粮食产量波动率 Rt=(Yt−Yt')/Yt',其中 Yt表示 t 年粮食总产量,Yt' 表示粮食产量 5 年移动平均值。 4.粮食播种面积 5.粮食单位面积产量 6.谷物/非谷物产量 7.秋收/夏收粮食产量 8.粮食进口数量 9.粮食进口金额 10.粮食出口金额 11.粮食外贸依存度(粮食进出口总额/农业
基于微信小程序高校寻物平台设计与实现.docx
08-25
基于微信小程序高校寻物平台设计与实现.docx
Apache CouchDB信息泄露漏洞CVE-2023-26268深度解析及解决方案
"Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告,涉及Apache CouchDB 3.3.x和3.2.x版本,需要升级至安全版本或使用深信服解决方案进行资产检测和漏洞检测。" Apache CouchDB是一款开源的NoSQL文档数据库系统,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值