V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
ApacheПриложениеnvd,anchore_overrides

Hertzbeat

Уязвимости
16
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.03941

Распределение по критичности

Критический
4
Высокий
11
Средний
1
Низкий
0

Затронутые диапазоны версий

1.7.1–1.8.0< 1.2.1< 1.4.1< 1.6.0< 1.6.1< 1.7.0< 1.7.3
Также сопоставлено как (исходные строки): hertzbeat

Топ уязвимостей

CVE-2024-42361Hertzbeat - это система мониторинга в реальном времени с открытым исходным кодом. Hertzbeat 1.6.0 и более ранние версии объявляют конечную точку /api/monitor/{monitorId}/metric/{metricFull} для загрузки метрик заданий. В процессе он выполняет SQL-запрос с данными, контролируемыми пользователем, что допускает SQL-инъекцию.
CVE-2023-51653Hertzbeat - это система мониторинга в режиме реального времени. В реализации `JmxCollectImpl.java` метод `JMXConnectorFactory.connect` уязвим для JNDI-инъекции. Соответствующий интерфейс - `/api/monitor/detect`. Если есть поле URL, то по умолчанию будет использоваться адрес. Когда URL-адрес имеет вид `service:jmx:rmi:///jndi/rmi://xxxxxxx:1099/localHikari`, его можно использовать для выполнения удаленного кода. Версия 1.4.1 содержит исправление этой проблемы.
CVE-2023-51389Hertzbeat — это система мониторинга в реальном времени. В интерфейсе `/define/yml` SnakeYAML используется в качестве парсера для анализа содержимого yml, но конфигурация безопасности не используется, что приводит к уязвимости десериализации YAML. Версия 1.4.1 устраняет эту уязвимость.
CVE-2023-51388Hertzbeat — это система мониторинга в реальном времени. В `CalculateAlarm.java` `AviatorEvaluator` используется для непосредственного выполнения функции выражения, и политика безопасности не настроена, что приводит к внедрению скрипта AviatorScript (который может выполнять любой статический метод по умолчанию). Версия 1.4.1 устраняет эту уязвимость.
CVE-2026-24343Неправильная нейтрализация данных в уязвимости XPath Expressions («XPath Injection») в Apache HertzBeat. Эта проблема затрагивает Apache HertzBeat: от 1.7.1 до 1.8.0. Пользователям рекомендуется обновиться до версии 1.8.0, что устраняет проблему.
CVE-2025-48208Уязвимость Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') в Apache HertzBeat позволяет выполнить произвольный скрипт при определенных условиях [1]. Злоумышленник должен иметь аутентифицированную учетную запись с доступом и возможность создания специальных команд. Успешная атака может привести к выполнению произвольного скрипта. Проблема затрагивает Apache HertzBeat версии до 1.7.2. Рекомендуется обновиться до версии 1.7.3, которая исправляет проблему. Источники: - [1] https://lists.apache.org/thread/3zrr3oo67pxxx7wgzj80kglltfshngn2
CVE-2025-24404Уязвимость XML-инъекции, приводящая к выполнению произвольного кода, существует в Apache HertzBeat при обработке ответа XML-карты сайта. Злоумышленнику необходимо иметь аутентифицированную учетную запись с доступом и добавить монитор, обрабатываемый XML. Возвращаемый специальный контент может вызвать уязвимость при разборе XML. Эта проблема затрагивает Apache HertzBeat (инкубирующий): версии до 1.7.0. Пользователям рекомендуется обновиться до версии 1.7.0, которая исправляет эту проблему [1]. Источники: - [1] https://lists.apache.org/thread/4ydy3tqbpwmhl79mcj3pxwqz62nggrfd
CVE-2024-45505Неправильная нейтрализация специальных элементов, используемых в команде (внедрение команды), в Apache HertzBeat (incubating). Эта уязвимость может быть использована только авторизованными злоумышленниками. Эта проблема затрагивает Apache HertzBeat (incubating) до версии 1.6.1. Рекомендуется обновить версию до 1.6.1, в которой проблема устранена.
CVE-2024-42362Hertzbeat - это система мониторинга в реальном времени с открытым исходным кодом. Hertzbeat имеет аутентифицированное (роль пользователя) RCE через небезопасную десериализацию в /api/monitors/import. Эта уязвимость исправлена в версии 1.6.0.
CVE-2024-42323Уязвимость SnakeYaml Deser Load Malicious xml rce в Apache HertzBeat (incubating). Этой уязвимостью могут воспользоваться только авторизованные злоумышленники. Эта проблема затрагивает Apache HertzBeat (incubating): до 1.6.0. Пользователям рекомендуется обновиться до версии 1.6.0, в которой эта проблема устранена.
CVE-2024-41151Десериализация ненадежных данных в Apache HertzBeat. Эта уязвимость может быть использована только авторизованными злоумышленниками. Эта проблема затрагивает Apache HertzBeat: до 1.6.1. Пользователям рекомендуется выполнить обновление до версии 1.6.1, которая устраняет эту проблему.
CVE-2023-51387Hertzbeat — это система мониторинга в реальном времени с открытым исходным кодом. Hertzbeat использует aviatorscript для оценки выражений оповещений. Предполагается, что выражения оповещений являются некоторыми простыми выражениями. Однако из-за неправильной очистки выражений оповещений в версии до 1.4.1 злонамеренный пользователь может использовать специально созданное выражение оповещения для выполнения любой команды на сервере hertzbeat. Злонамеренный пользователь, имеющий доступ к функции определения оповещений, может выполнить любую команду в экземпляре hertzbeat. Эта проблема исправлена в версии 1.4.1.
CVE-2024-45791Уязвимость раскрытия конфиденциальной информации неавторизованному субъекту в Apache HertzBeat. Эта проблема затрагивает Apache HertzBeat: до версии 1.6.1. Пользователям рекомендуется обновиться до версии 1.6.1, в которой исправлена эта проблема.
CVE-2023-51650Hertzbeat - это система мониторинга в режиме реального времени с открытым исходным кодом. До версии 1.4.1 проблемы с конфигурацией разрешений Spring Boot приводили к несанкционированному доступу к трем интерфейсам. Это могло привести к раскрытию конфиденциальной информации о сервере. В версии 1.4.1 эта проблема устранена.
CVE-2022-39337Hertzbeat - это система мониторинга в режиме реального времени с открытым исходным кодом, с пользовательским мониторингом, высокопроизводительным кластером, похожим на prometheus и не требующим использования агентов. Версии Hertzbeat 1.20 и более ранние имеют уязвимость обхода разрешений. Системную аутентификацию можно обойти и вызывать интерфейсы без авторизации. Версия 1.2.1 содержит исправление для этой проблемы.
CVE-2024-56736Уязвимость подделки запроса на сервера (SSRF) в Apache HertzBeat. Эта проблема затрагивает Apache HertzBeat (инкубирующий): до 1.7.0. Пользователям рекомендуется обновиться до версии 1.7.0, которая устраняет проблему.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →