2024年1月4日,网上公开披露了一个标注为代码注入的Apache InLong updateAuditSource方法命令注入漏洞( CVE-2023-51784),Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计数据写到 MySQL、Elasticsearch、ClickHouse中的一个子系统,请各位用户尽快安装漏洞补丁。
漏洞风险:Apache InLong 1.5.0至1.9.0版本中,由于 updateAuditSource 方法未对用户可控的参数有效过滤,攻击者可在更新 Audit source 时传入恶意的Audit source URL导致远程执行任意代码。
风险等级:高风险。
影响范围:
org.apache.inlong:manager-web@[1.5.0, 1.10.0)
org.apache.inlong:manager-pojo@[1.5.0, 1.10.0)
修复建议:
将 org.apache.inlong:manager-web 升级至 1.10.0 及以上版本
将组件org.apache.inlong:manager-pojo 升级至 1.10.0 及以上版本
进行安全更新方法:
https://github.com/apache/inlong/commit/1edaf8bb1113cfb90cd451a0830caa15d9ff08b9
