CVE-2024-51775

ANC

Средний

Отсутствует проверка происхождения в WebSockets в Apache Zeppelin. Злоумышленник мог получить доступ к серверу Zeppelin с другого источника…

CVSS

5.3

Средний

EPSS

0.00

p15

Опубликовано

2024-01-01

Обновлено

2024-01-01

Описание

Отсутствует проверка происхождения в WebSockets в Apache Zeppelin. Злоумышленник мог получить доступ к серверу Zeppelin с другого источника без каких-либо ограничений и получить внутреннюю информацию о параграфах [1]. Этот вопрос затрагивает Apache Zeppelin: от версии 0.11.1 до версии 0.12.0. Пользователям рекомендуется обновиться до версии 0.12.0, которая исправляет эту проблему [1]. PR добавляет проверку Origin для обеспечения того, что соединения WebSocket инициируются только из доверенных источников. Проверяя заголовок Origin при первоначальном рукопожатии WebSocket, можно предотвратить установление соединений WebSocket с сервером неавторизованными или вредоносными веб-сайтами [2]. Источники: - [1] https://github.com/apache/zeppelin/pull/4823

Теги · CWE

Без аутентификации

CWE-1385

Затронутые продукты

Zeppelin 0.11.0–0.12.0

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Хронология

2024-01-01

Опубликована

2024-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: L

Низкое (L)

Воздействие на целостность

I: N

Отсутствует (N)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.002 · p15

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Продукт	Вендор	Статус
		Отслеживается
zeppelin	*	Отслеживается

Источники данных

ANC

CVE