nvd,anchore_overrides
Openrefine
Уязвимости
15
Эксплуатируемые
0
Критический
2
Высокий
7
Топ продуктов
Топ уязвимостей
CVE-2023-41887OpenRefine — это мощный бесплатный инструмент с открытым исходным кодом для работы с беспорядочными данными. До версии 3.7.5 уязвимость удаленного выполнения кода позволяет любому не прошедшему проверку подлинности пользователю выполнять код на сервере. В версии 3.7.5 есть исправление для этой проблемы.
CVE-2024-47883Форк OpenRefine MIT Simile Butterfly server представляет собой модульный фреймворк для веб-приложений. Фреймворк Butterfly использует класс `java.net.URL` для обращения к (как ожидается) локальным файлам ресурсов, таким как изображения или шаблоны. Это работает: "открытие соединения" к этим URL открывает локальный файл. Однако, до версии 1.2.6, если `file:/` URL напрямую указан там, где ожидается относительный путь (имя ресурса), это также принимается в некоторых путях кода; затем приложение извлекает файл с удаленной машины, если указано, и использует его, как если бы это была доверенная часть кодовой базы приложения. Это приводит к многочисленным слабостям и потенциальным слабостям. Злоумышленник, имеющий сетевой доступ к приложению, может использовать его для получения доступа к файлам, либо в файловой системе сервера (обход пути), либо к файлам, совместно используемым близлежащими машинами (подделка запроса на стороне сервера, например, с SMB). Злоумышленник, который может направить или перенаправить пользователя на специально созданный URL, принадлежащий приложению, может вызвать загрузку произвольного JavaScript, контролируемого злоумышленником, в браузере жертвы (межсайтовый скриптинг). Если приложение написано таким образом, что злоумышленник может повлиять на имя ресурса, используемое для шаблона, этот злоумышленник может заставить приложение извлечь и выполнить шаблон, контролируемый злоумышленником (удаленное выполнение кода). Версия 1.2.6 содержит исправление.
CVE-2024-47881OpenRefine — это бесплатный инструмент с открытым исходным кодом для работы с неточными данными. Начиная с версии 3.4-beta и до версии 3.8.3 в расширении `database` свойство `enable_load_extension` можно установить для интеграции SQLite, что позволяет злоумышленнику загружать (локальные или удаленные) DLL расширения и, таким образом, выполнять произвольный код на сервере. Злоумышленнику необходим сетевой доступ к экземпляру OpenRefine. Версия 3.8.3 устраняет эту проблему.
CVE-2024-47879OpenRefine — это бесплатный инструмент с открытым исходным кодом для работы с неточными данными. До версии 3.8.3 отсутствие защиты от межсайтовой подделки запросов в команде `preview-expression` означает, что посещение вредоносного веб-сайта может привести к выполнению выражения, контролируемого злоумышленником. Выражение может содержать произвольный код Clojure или Python. Злоумышленник должен знать действительный идентификатор проекта, содержащего хотя бы одну строку, и злоумышленник должен убедить жертву открыть вредоносную веб-страницу. Версия 3.8.3 устраняет проблему.
CVE-2023-37476OpenRefine - это бесплатный инструмент с открытым исходным кодом для обработки данных. Специально созданный вредоносный файл проекта OpenRefine tar может быть использован для запуска произвольного кода в контексте процесса OpenRefine, если пользователю можно убедить импортировать его. Уязвимость существует во всех версиях OpenRefine до 3.7.3 включительно. Пользователям следует обновиться до OpenRefine 3.7.4 как можно скорее. Пользователям, которые не могут обновиться, следует импортировать проекты OpenRefine только из доверенных источников [1].
Описание. Уязвимость Zip Slip в функции импорта проекта. Вредоносный tar-файл может привести к произвольному выполнению кода при импорте проекта.
Источники:
- [1] https://github.com/OpenRefine/OpenRefine/security/advisories/GHSA-m88m-crr9-jvqq
- [2] https://github.com/OpenRefine/OpenRefine/commit/e9c1e65d58b47aec8cd676bd5c07d97b002f205e
- [3] https://github.com/OpenRefine/OpenRefine/releases/tag/3.7.4
- [4] https://www.sonarsource.com/blog/openrefine-zip-slip
CVE-2024-23833OpenRefine — это бесплатный инструмент с открытым исходным кодом для работы с грязными данными и их улучшения. В OpenRefine (версия <=3.7.7) существует уязвимость JDBC-атаки, когда злоумышленник может сконструировать JDBC-запрос, который может читать файлы в файловой системе хоста. Из-за более новой библиотеки драйверов MySQL в последней версии OpenRefine (8.0.30) отсутствует связанная точка использования десериализации, поэтому нельзя добиться выполнения исходного кода, но злоумышленники могут использовать эту уязвимость для чтения конфиденциальных файлов на целевом сервере. Эта проблема была решена в версии 3.7.8. Пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2023-41886OpenRefine — это мощный бесплатный инструмент с открытым исходным кодом для работы с беспорядочными данными. До версии 3.7.5 уязвимость произвольного чтения файлов позволяет любому не прошедшему проверку подлинности пользователю читать файл на сервере. Версия 3.7.5 устраняет эту проблему.
CVE-2019-3580OpenRefine до версии 3.1 позволяет произвольную запись файлов, поскольку во время импорта созданного файла проекта может произойти обход каталогов.
CVE-2018-20157Функциональность импорта данных в OpenRefine до версии 3.1 допускает атаку XML External Entity (XXE) через специально созданный (zip) файл, позволяя злоумышленникам читать произвольные файлы.
CVE-2024-47880OpenRefine — это бесплатный инструмент с открытым исходным кодом для работы с неточными данными. До версии 3.8.3 команду `export-rows` можно использовать таким образом, что она отражает часть запроса дословно, с заголовком Content-Type, также взятым из запроса. Злоумышленник может перенаправить пользователя на вредоносную страницу, которая отправляет форму POST, содержащую встроенный код JavaScript. Этот код затем будет включен в ответ вместе с заголовком Content-Type, контролируемым злоумышленником, и, следовательно, потенциально выполнен в браузере жертвы, как если бы он был частью OpenRefine. Предоставленный злоумышленником код может делать все, что может делать пользователь, включая удаление проектов, получение паролей базы данных или выполнение произвольных выражений Jython или Closure, если эти расширения также присутствуют. Злоумышленник должен знать действительный идентификатор проекта, содержащего хотя бы одну строку. Версия 3.8.3 устраняет проблему.
CVE-2022-41401OpenRefine <= v3.5.2 содержит уязвимость Server-Side Request Forgery (SSRF), которая позволяет неавторизованным пользователям эксплуатировать систему, что потенциально может привести к несанкционированному доступу к внутренним ресурсам и раскрытию конфиденциальных файлов.
CVE-2018-19859OpenRefine версий до 3.2 beta допускает обход каталогов через относительный путь в ZIP-архиве.
CVE-2024-47882OpenRefine — это бесплатный инструмент с открытым исходным кодом для работы с неточными данными. До версии 3.8.3 встроенная страница ошибки "Что-то пошло не так!" включает сообщение об исключении и трассировку исключения без экранирования HTML-тегов, что позволяет внедрить код на страницу, если злоумышленник может надежно вызвать ошибку с сообщением, на которое повлиял злоумышленник. Похоже, что единственный способ достичь этого кода в самом OpenRefine — это каким-то образом убедить жертву импортировать вредоносный файл, что может быть затруднительно. Однако сторонние расширения могут добавлять свои собственные вызовы `respondWithErrorPage`. Версия 3.8.3 содержит исправление для этой проблемы.
CVE-2024-47878OpenRefine — это бесплатный инструмент с открытым исходным кодом для работы с неточными данными. До версии 3.8.3 конечная точка `/extension/gdata/authorized` включает параметр `state` GET дословно в тег `<script>` в выходных данных, то есть без экранирования. Злоумышленник может перенаправить пользователя на специально созданный URL-адрес, содержащий код JavaScript, который затем будет выполнен в браузере жертвы, как если бы он был частью OpenRefine. Версия 3.8.3 устраняет эту проблему.
CVE-2024-49760OpenRefine — это бесплатный инструмент с открытым исходным кодом для работы с неструктурированными данными. Команда load-language ожидает параметр `lang`, на основе которого она строит путь к файлу локализации, имеющему вид `translations-$LANG.json`. Но при выполнении в версиях до 3.8.3 она не проверяет, находится ли результирующий путь в ожидаемом каталоге, что означает, что эту команду можно использовать для чтения других JSON-файлов в файловой системе. В версии 3.8.3 эта проблема устранена.