Pfadmanipulations-Schwachstelle in Big Data Engine Netflix Genie

Eine kritische Sicherheitslücke wurde in der Big Data Orchestrierungs-Software Genie von Netflix entdeckt, die sich auf alle Versionen vor 4.3.18 erstreckt. Die Schwachstelle CVE-2024-4701, betrifft die Handhabung von Datei-Uploads innerhalb der Anwendung und wurde mit einem kritischen Schweregrad von 9.9 / 10 bewertet.
Die Sicherheitslücke ermöglicht es, durch speziell präparierte Dateiuploads, beliebige Dateien an jedem Ort im Dateisystem zu speichern, auf den der Java-Prozess Schreibzugriff hat. Diese Path Traversal Schwachstelle kann dazu führen, dass ein Angreifer remote Code auf dem Server ausführt (Remote Code Execution, RCE).
Nutzer von Genie OSS, die ihre eigene Instanz betreiben und das Dateisystem zur Speicherung von Dateianhängen nutzen, die an die Genie-Anwendung gesendet werden, könnten von dieser Schwachstelle betroffen sein. Benutzer, die diese Anhänge nicht lokal auf dem zugrunde liegenden Dateisystem speichern, sind von diesem Problem nicht betroffen.

Die API von Genie akzeptiert Dateiuploads im multipart/form-data-Format, die auf der Festplatte gespeichert werden können. Hierbei wird der vom Benutzer bereitgestellte Dateiname verwendet, was Manipulationen des Dateinamens ermöglicht und somit Pfadmanipulationen zulässt.

Die Entwickler von Genie haben die Schwachstelle in der Version 4.3.18 behoben. Es wird dringend empfohlen, alle Instanzen von Genie OSS auf diese neue Version zu aktualisieren, um sich vor möglichen Angriffen zu schützen.

Related Posts

Privilege Escalation Schwachstelle in Trend Micro Maximum Security

In einer kürzlich erschienenen Sicherheitsmeldung hat Trend Micro eine Schwachstelle in seiner Sicherheitssoftware für Windows, Trend Micro Maximum Security, bekanntgegeben. Die Sicherheitslücke CVE-2024-32849 mit CVSSv3-Score von 7.8 / 10 ermöglicht eine Eskalation von Benutzerrechten und betrifft speziell die Version 17.7 der Software.

Read More

SSRF Schwachstelle in NextJs gefunden

Die Forscher von Assetnote haben eine SSRF Schwachstelle in der Bildoptimierungskomponente von NextJS gefunden, das standardmäßig aktiviert ist. Über eine fehlerhafte Konfiguration der remotePatterns in der next.config.js Datei könnte eine Blind-Side-Request-Forgery (SSRF)-Attacke ermöglicht werden. Angreifer könnten dadurch beliebige lokale URLs laden:

Read More

VMware Avi Load Balancer: Schwachstelle legt Informationen offen

VMware hat kürzlich ein Advisory für den VMware Avi Load Balancer herausgegeben, um mehrere Sicherheitsanfälligkeiten zu beheben, die unter den Kennungen CVE-2024-22264 und CVE-2024-22266 geführt werden. Diese Schwachstellen wurden erstmals am 7. Mai 2024 identifiziert und am selben Tag in einem initialen Sicherheitshinweis veröffentlicht.

Read More