Apache Linkis: JNDI-Injection im JDBC Datasource-Modul möglich

Am 14. Juli 2024 wurde eine schwerwiegende Sicherheitslücke im JDBC Datasource-Modul von Apache Orchestrierungs Middleware Linkis entdeckt und in der GitHub Advisory Database veröffentlicht. Die Schwachstellen CVE-2023-49566 und CVE-2023-46801, betreffen alle Versionen von Apache Linkis bis einschließlich 1.5.0. Die Schwachstelle wurde als hoch eingestuft und erfordert dringend ein Update auf die Version 1.6.0, um die Sicherheitsrisiken zu minimieren.

Die JNDI-Injection-Schwachstelle tritt auf, wenn das JDBC Datasource-Modul von Apache Linkis unsachgemäß konfiguriert wird. Aufgrund mangelnder Filterung der Parameter können Angreifer, die über ein autorisiertes Konto verfügen, bösartige DB2-Parameter in das DataSource-Manager-Modul einfügen. Dies ermöglicht es ihnen, schädlichen Code über JNDI zu injizieren und auszuführen.

DBei erfolgreicher Ausnutzung dieser Schwachstelle können Angreifer beliebigen Code im Kontext des betroffenen Systems ausführen. Dies könnte zu einem vollständigen Systemkompromiss führen, einschließlich des Zugriffs auf vertrauliche Daten und der Manipulation von Systemressourcen. Die Schwere der Schwachstelle wird durch die CVSS-Basisbewertung von 8.8/10 verdeutlicht.

Related Posts

Windows10/11: Remote Code Execution per Internet-Verknüpfungsdateien

Check Point Research hat eine neue Angriffsmethode entdeckt, bei der Bedrohungsakteure Zero-Day-Schwachstellen in Internet-Verknüpfungsdateien (.url) ausnutzen, um Windows-Nutzer zu täuschen und Remote-Code-Ausführung zu ermöglichen. Diese Methode nutzt den veralteten Internet Explorer (IE), um schädliche Inhalte auszuführen, obwohl moderne Windows 10/11-Systeme verwendet werden.

Read More

PDF.js Sicherheitslücke Fabasoft eGov-Suite und Fabasoft Mindbreeze Enterprise

Am 10. Juni 2024 wurde eine kritische Sicherheitslücke in der Drittanbieter-Bibliothek PDF.js entdeckt, die eine beliebige JavaScript-Ausführung ermöglicht. Die Lücke betrifft die Fabasoft eGov-Suite bis einschließlich 2024 Update Rollup 1 und Fabasoft Mindbreeze Enterprise bis einschließlich Version 24.3.0.268. Die Schwachstelle wurde als CVE-2024-4367 identifiziert und hat einen CVSS-Score von 8.5 (hoch).

Read More

Sicherheitslücken in ServiceNow ermöglicht vollständigen Datenzugriff

Am 11. Juli 2024 berichtete das Sicherheitsforschungsunternehmen Assetnote über eine Kette von drei Schwachstellen, die zusammen ausgenutzt werden können, um vollen Zugriff auf alle ServiceNow-Daten zu erhalten. ServiceNow reagierte schnell auf den Bericht und arbeitete eng mit Assetnote zusammen, um die Schwachstellen zu beheben.

Read More