Ranger
Уязвимости
22
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04853
Распределение по критичности
Критический
5
Высокий
7
Средний
10
Низкий
0
Затронутые диапазоны версий
0.7.0–1.2.02.0.0–2.3.02.4.0–2.5.0< 0.6.3< 1.2.0< 2.6.0< 2.8.0≤ 0.4.0≤ 0.4.0.≤ 0.5.0≤ 0.6.2≤ 0.7.0≤ 2.8.0
Также сопоставлено как (исходные строки): ranger
Топ уязвимостей
CVE-2025-59059Уязвимость к исполнению удаленного кода в NashornScriptEngineCreator сообщается в версиях Apache Ranger <= 2.7.0.
Пользователям рекомендуется обновиться до версии 2.8.0, что устраняет эту проблему.
CVE-2024-55532Неправильная нейтрализация элементов формул в функции экспорта CSV Apache Ranger в версии Apache Ranger < 2.6.0.
Пользователям рекомендовано обновиться до версии 2.6.0, которая исправляет эту проблему.
CVE-2017-7676Сопоставитель ресурсов политик в Apache Ranger до версии 0.7.1 игнорирует символы после подстановочного знака '*' - например, my*test, test*.txt. Это может привести к непреднамеренному поведению.
CVE-2016-0733Admin UI в Apache Ranger до версии 0.5.1 неправильно обрабатывает запросы аутентификации, в которых отсутствует пароль, что позволяет удаленным злоумышленникам обходить аутентификацию, используя знание действительного имени пользователя.
CVE-2024-45479SSRF-уязвимость в Edit Service Page пользовательского интерфейса Apache Ranger в Apache Ranger версии 2.4.0. Рекомендуется обновить версию Apache Ranger до 2.5.0, в которой эта проблема устранена.
CVE-2022-45048Аутентифицированные пользователи с соответствующими привилегиями могут создавать политики, содержащие выражения, которые могут использовать уязвимость выполнения кода. Эта проблема затрагивает Apache Ranger: 2.3.0. Пользователям рекомендуется обновить версию до 2.4.0.
CVE-2018-11778UnixAuthenticationService в Apache Ranger 1.2.0 был обновлен для правильной обработки пользовательского ввода, чтобы избежать переполнения буфера на основе стека. Версии до 1.2.0 следует обновить до 1.2.0.
CVE-2016-0735Apache Ranger 0.5.x до версии 0.5.2 позволяет удаленным аутентифицированным пользователям обходить предусмотренные ограничения доступа на уровне родительского ресурса, используя неправильную обработку политики исключения на уровне ресурса.
CVE-2021-40331В плагине Apache Ranger Hive обнаружена неправильная установка разрешений для важного ресурса. Любой пользователь с привилегией SELECT для базы данных может изменить владельца таблицы в Hive, если включен плагин Apache Ranger Hive. Эта проблема затрагивает плагин Apache Ranger Hive: с версии 2.0.0 по версию 2.3.0. Пользователям рекомендуется обновиться до версии 2.4.0 или более поздней.
BDU:2017-02004Уязвимость механизма реализации политики совместимости ресурсов программной платформы Apache Ranger вызвана игнорированием символов, расположенных после символа "*". Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать неопределённое поведение программы
CVE-2016-2174Уязвимость SQL-инъекции в инструменте администрирования политик в Apache Ranger до версии 0.5.3 позволяет удаленным аутентифицированным администраторам выполнять произвольные SQL-команды через параметр eventTime в service/plugins/policies/eventTime.
CVE-2015-0266Policy Admin Tool в Apache Ranger до версии 0.5.0 позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения доступа через прямой доступ к URL-адресам модулей.
CVE-2016-6815В Apache Ranger до версии 0.6.2 пользователям с ролью «keyadmin» не должно быть разрешено изменять пароль для пользователей с ролью «admin».
CVE-2015-5167Инструмент администрирования политик в Apache Ranger до версии 0.5.1 позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения доступа через REST API.
CVE-2019-12397Функциональность импорта политик в Apache Ranger 0.7.0 - 1.2.0 уязвима для межсайтового скриптинга. Рекомендуется обновиться до Apache Ranger версии 2.0.0 или более поздней с исправлениями.
CVE-2015-0265Уязвимость межсайтового скриптинга (XSS) в Policy Admin Tool в Apache Ranger до версии 0.5.0 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через заголовок HTTP User-Agent.
CVE-2017-7677В средах, использующих внешнее расположение для таблиц Hive, Hive Authorizer в Apache Ranger до версии 0.7.1 должен проверять разрешение RWX для создания таблицы.
CVE-2016-8746Механизм политик Apache Ranger до версии 0.6.3 неправильно сопоставляет пути в определенных условиях, когда политика не содержит подстановочных знаков и для флага рекурсии установлено значение true.
CVE-2025-59060Обход проверя имени хозяева в Apache Ranger NiFiRegistryClient/NiFiClient сообщается в версиях Apache Ranger <= 2.7.0.
Пользователям рекомендуется обновиться до версии 2.8.0, что устраняет эту проблему.
CVE-2024-45478Уязвимость Stored XSS на странице Edit Service Page в Apache Ranger UI в Apache Ranger Version 2.4.0. Пользователям рекомендуется выполнить обновление до версии Apache Ranger 2.5.0, в которой устранена эта проблема.
CVE-2016-8751Apache Ranger до версии 0.6.3 уязвим для хранимого межсайтового скриптинга при вводе пользовательских условий политики. Пользователи-администраторы могут хранить произвольный код javascript, который будет выполняться, когда обычные пользователи входят в систему и получают доступ к политикам.
CVE-2016-5395Межсайтовый скриптинг (XSS) в функции создания пользователя в инструменте администрирования политик в Apache Ranger до 0.6.1 позволяет удаленным аутентифицированным администраторам внедрять произвольный веб-скрипт или HTML через векторы, связанные с политиками.