Inlong
Уязвимости
46
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02042
Распределение по критичности
Критический
20
Высокий
18
Средний
8
Низкий
0
Затронутые диапазоны версий
1.1.0–1.5.01.1.0–1.6.01.10.0–1.13.01.13.0–2.1.01.13.0–2.2.01.13–2.2.01.2.0–1.6.01.4.0–1.11.01.4.0–1.6.01.4.0–1.7.01.4.0–1.8.01.4.0–1.9.01.5.0–1.10.01.7.0–1.12.01.7.0–1.9.0< 1.3.0
Также сопоставлено как (исходные строки): inlong
Топ уязвимостей
CVE-2025-27531Уязвимость десериализации недоверенных данных в Apache InLong позволяет аутентифицированному злоумышленнику читать произвольные файлы путём двойной записи параметра. Пользователям рекомендуется обновиться до версии 2.1.0, в которой эта проблема устранена [1].
Источники:
- [1] https://lists.apache.org/thread/r62lkqrr739wvcb60j6ql6q63rh4bxx5
CVE-2024-36268Неправильный контроль генерации кода ("Code Injection") в Apache InLong.
Эта проблема затрагивает Apache InLong: с 1.10.0 по 1.12.0, что может привести к удаленному выполнению кода. Пользователям рекомендуется обновиться до Apache InLong 1.13.0 или применить cherry-pick [1] для ее решения.
[1] https://github.com/apache/inlong/pull/10251
CVE-2024-26579Уязвимость десериализации ненадежных данных в Apache InLong. Эта проблема затрагивает Apache InLong: с 1.7.0 по 1.11.0. Злоумышленники могут обходить защиту, используя вредоносные параметры. Пользователям рекомендуется обновиться до Apache InLong 1.12.0 или выбрать изменения из [1], [2], чтобы решить эту проблему. [1] https://github.com/apache/inlong/pull/9694 [2] https://github.com/apache/inlong/pull/9707
CVE-2023-51784Неправильный контроль генерации кода ('Внедрение кода') в Apache InLong. Эта проблема затрагивает Apache InLong: с 1.5.0 до 1.9.0, что может привести к удаленному выполнению кода. Пользователям рекомендуется обновиться до версии 1.10.0 Apache InLong или выбрать патч [1], чтобы решить эту проблему.
CVE-2023-43668Обход авторизации через уязвимость ключа, контролируемого пользователем, в Apache InLong. Эта проблема затрагивает Apache InLong: с версии 1.4.0 по версию 1.8.0 некоторые проверки конфиденциальных параметров будут обойдены, такие как "autoDeserizalize","allowLoadLocalInfile".... Пользователям рекомендуется обновиться до Apache InLong версии 1.9.0 или выбрать [1] для ее решения. [1] https://github.com/apache/inlong/pull/8604
CVE-2023-35088Неправильная нейтрализация специальных элементов, используемых в SQL-командах ('SQL-инъекция'), в Apache Software Foundation Apache InLong. Эта проблема затрагивает Apache InLong: от 1.4.0 до 1.7.0.
В методе toAuditCkSql groupId, streamId, auditId и dt напрямую конкатенируются в SQL-запрос, что может привести к SQL-инъекциям.
Пользователям рекомендуется обновиться до версии 1.8.0 Apache InLong или выбрать [1] для решения этой проблемы.
[1] https://github.com/apache/inlong/pull/8198
CVE-2023-31098Уязвимость, связанная со слабыми требованиями к паролю, в Apache Software Foundation Apache InLong. Эта проблема затрагивает Apache InLong: от 1.1.0 до 1.6.0.
Когда пользователи меняют свой пароль на простой пароль (с любым символом), злоумышленники могут легко угадать пароль пользователя и получить доступ к учетной записи.
Пользователям рекомендуется обновиться до Apache InLong версии 1.7.0 или применить исправление https://github.com/apache/inlong/pull/7805 https://github.com/apache/inlong/pull/7805 для решения проблемы.
CVE-2023-31062Уязвимости неправильного управления привилегиями в Apache Software Foundation Apache InLong. Эта проблема затрагивает Apache InLong: с версии 1.2.0 по 1.6.0. Когда злоумышленник имеет доступ к действительной (но непривилегированной) учетной записи, эксплойт можно выполнить с помощью Burp Suite, отправив запрос на вход в систему и последующий HTTP-запрос с использованием возвращенного cookie.
Пользователям рекомендуется обновиться до Apache InLong версии 1.7.0 или выбрать https://github.com/apache/inlong/pull/7836 https://github.com/apache/inlong/pull/7836 для решения этой проблемы.
CVE-2023-24997Уязвимость десериализации ненадежных данных в Apache Software Foundation Apache InLong. Эта проблема затрагивает Apache InLong: с 1.1.0 по 1.5.0. Пользователям рекомендуется обновиться до последней версии Apache InLong или cherry-pick https://github.com/apache/inlong/pull/7223 https://github.com/apache/inlong/pull/7223 для решения этой проблемы.
BDU:2024-04253Уязвимость метода updateAuditSource компонента Manager платформы интеграции данных Apache InLong связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2024-01759Уязвимость компонента JDBC URL Handler платформы интеграции данных Apache InLong связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2023-06395Уязвимость платформы интеграции данных Apache InLong связана со слабыми требованиями к паролям. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к учётной записи пользователя
BDU:2023-02861Уязвимость платформы интеграции данных Apache InLong связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и осуществить привязку произвольного кластера
BDU:2023-01911Уязвимость платформы интеграции данных Apache InLong связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность
CVE-2025-27528Уязвимость десериализации недоверенных данных в Apache InLong. Эта проблема затрагивает Apache InLong версий от 1.13.0 до 2.1.0. Эта уязвимость позволяет злоумышленникам обойти механизмы безопасности InLong JDBC и приводит к произвольному чтению файлов. Пользователям рекомендуется обновиться до версии Apache InLong 2.2.0 или применить исправление [1] для решения проблемы. Источники: - [1] https://github.com/apache/inlong/pull/11747
Источники:
- [1] https://lists.apache.org/thread/b807rqzgyv4qgvxw3nhkq8tl6g90gqgj
- [2] https://github.com/apache/inlong/pull/11747
CVE-2024-26580Уязвимость десериализации недоверенных данных в Apache InLong. Эта проблема затрагивает Apache InLong: с 1.8.0 по 1.10.0, злоумышленники могут использовать конкретную полезную нагрузку для чтения из произвольного файла. Пользователям рекомендуется обновиться до Apache InLong версии 1.11.0 или выбрать [1], чтобы решить эту проблему.
[1] https://github.com/apache/inlong/pull/9673
CVE-2023-31066Уязвимость файлов или каталогов, доступных для внешних сторон, в Apache Software Foundation Apache InLong. Эта проблема затрагивает Apache InLong: с версии 1.4.0 по 1.6.0. Разные пользователи в InLong могут удалять, редактировать, останавливать и запускать источники других пользователей! Пользователям рекомендуется обновиться до Apache InLong версии 1.7.0 или выбрать https://github.com/apache/inlong/pull/7775 https://github.com/apache/inlong/pull/7775 для решения этой проблемы.
CVE-2023-31065Уязвимость недостаточного срока действия сессии в Apache Software Foundation Apache InLong. Эта проблема затрагивает Apache InLong: с версии 1.4.0 по 1.6.0.
Старая сессия может быть использована злоумышленником даже после того, как пользователь был удален или пароль был изменен.
Пользователям рекомендуется обновиться до Apache InLong версии 1.7.0 или выбрать https://github.com/apache/inlong/pull/7836 https://github.com/apache/inlong/pull/7836 , https://github.com/apache/inlong/pull/7884 https://github.com/apache/inlong/pull/7884 для решения этой проблемы.
BDU:2025-06400Уязвимость платформы интеграции данных Apache InLong связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и получить доступ на чтение произвольных файлов
BDU:2024-01760Уязвимость платформы интеграции данных Apache InLong связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2023-27296Уязвимость десериализации ненадежных данных в Apache Software Foundation Apache InLong.
Она может быть вызвана аутентифицированными пользователями InLong, вы можете обратиться к [1], чтобы узнать больше об этой уязвимости.
Эта проблема затрагивает Apache InLong: с 1.1.0 по 1.5.0. Пользователям рекомендуется обновить Apache InLong до последней версии или выбрать [2], чтобы решить ее.
[1] https://programmer.help/blogs/jdbc-deserialization-vulnerability-learning.html
https://programmer.help/blogs/jdbc-deserialization-vulnerability-learning.html
[2] https://github.com/apache/inlong/pull/7422 https://github.com/apache/inlong/pull/7422
CVE-2022-40955В версиях Apache InLong до 1.3.0 злоумышленник с достаточными привилегиями для указания параметров URL-адреса подключения MySQL JDBC и для записи произвольных данных в базу данных MySQL может вызвать десериализацию этих данных Apache InLong, что потенциально может привести к удаленному выполнению кода на сервере Apache InLong. Пользователям рекомендуется обновиться до Apache InLong 1.3.0 или новее.
BDU:2022-06168Уязвимость обработчика URL-адреса соединения JDBC платформы интеграции данных Apache InLong связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2023-51785Уязвимость десериализации недоверенных данных в Apache InLong. Эта проблема затрагивает Apache InLong: с 1.7.0 по 1.9.0, злоумышленники могут осуществить произвольное чтение файла с использованием драйвера mysql. Пользователям рекомендуется обновиться до версии 1.10.0 Apache InLong или выбрать [1] для решения этой проблемы.
[1] https://github.com/apache/inlong/pull/9331
CVE-2023-46227Десериализация недоверенных данных в Apache Software Foundation Apache InLong.
Эта проблема затрагивает Apache InLong: с 1.4.0 по 1.8.0, злоумышленник может использовать \t для обхода. Пользователям рекомендуется обновиться до Apache InLong версии 1.9.0 или выбрать [1] для ее решения.
[1] https://github.com/apache/inlong/pull/8814