CVE-2024-51775
Apache Zeppelin: Command Injection via CSWSH
Em resumo
O Apache Zeppelin não valida a origem das conexões WebSocket, permitindo que atacantes de outros sites acessem o servidor e roubem informações internas sobre notebooks e parágrafos sem autorização.
Detalhe técnico
Falta de validação de origem em manipuladores WebSocket (vetor CSWSH) permite que requisições entre origens contornem proteções CORS, habilitando atacantes a recuperarem metadados de parágrafos sensíveis e dados internos do Zeppelin. Afeta versões 0.11.1 até 0.11.x; requer acesso de rede ao servidor Zeppelin.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Missing Origin Validation in WebSockets vulnerability in Apache Zeppelin.
The attacker could access the Zeppelin server from another origin without any restriction, and get internal information about paragraphs.
This issue affects Apache Zeppelin: from 0.11.1 before 0.12.0.
Users are recommended to upgrade to version 0.12.0, which fixes the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
Apache Software Foundation · Apache ZeppelinQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →