Plataforma
java
Componente
org.open-metadata:openmetadata-service
Corregido en
1.3.2
1.3.1
Se ha descubierto una vulnerabilidad de inyección de expresiones de lenguaje de Spring (SpEL) en OpenMetadata Service, afectando a versiones hasta DEMO_BETA1. Esta falla permite a usuarios autenticados ejecutar código arbitrario en el servidor a través de la API PUT /api/v1/policies. La vulnerabilidad reside en la función CompiledRule::validateExpression y se ha solucionado en la versión 1.3.1.
La inyección SpEL en OpenMetadata Service representa un riesgo significativo. Un atacante autenticado puede explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el servidor, comprometiendo la confidencialidad, integridad y disponibilidad de los datos almacenados en OpenMetadata. Esto podría incluir la extracción de información sensible, la modificación de metadatos críticos o incluso el control total del sistema. La necesidad de autenticación limita el alcance, pero la severidad de la ejecución de código arbitrario es alta. La explotación exitosa podría permitir el acceso a datos de linaje, perfiles de datos y otras informaciones sensibles gestionadas por OpenMetadata.
Esta vulnerabilidad ha sido publicada públicamente el 23 de abril de 2024. No se ha añadido a KEV al momento de la redacción, pero la severidad crítica y la facilidad de explotación (requiere autenticación) sugieren un riesgo medio de explotación activa. No se han reportado públicamente pruebas de concepto (PoCs) detalladas, pero la naturaleza de la inyección SpEL implica que es probable que surjan en breve. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations deploying OpenMetadata Service, particularly those using the DEMO_BETA1 or earlier versions, are at significant risk. Environments where the OpenMetadata Service is exposed to untrusted networks or where user authentication is not properly enforced are especially vulnerable. Shared hosting environments utilizing OpenMetadata Service should be carefully reviewed for potential exposure.
• linux / server:
journalctl -u openmetadata-service -g 'PolicyRepository.prepare' --since "1 hour"• java / supply-chain:
Inspect the PolicyRepository.prepare method in the OpenMetadata codebase for suspicious calls to expression evaluation functions. Look for instances where user-supplied data is directly incorporated into expressions without proper sanitization.
• generic web:
Monitor access logs for requests to /api/v1/policies with unusual or malformed payloads. Specifically, look for requests containing characters commonly used in SpEL expressions (e.g., #, T(java.lang.Runtime).getRuntime().exec(...)).
disclosure
patch
Estado del Exploit
EPSS
92.00% (100% percentil)
Vector CVSS
La mitigación principal es actualizar a la versión 1.3.1 de OpenMetadata Service, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso a la API PUT /api/v1/policies solo a usuarios de confianza. Implementar controles de validación de entrada robustos en la función validateRules puede ayudar a prevenir la inyección de código malicioso. Monitorear los logs del servidor en busca de patrones sospechosos relacionados con la ejecución de expresiones SpEL también es crucial. Considerar la implementación de un Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección SpEL.
Actualice OpenMetadata a la versión 1.3.1 o superior. Esta versión corrige la vulnerabilidad de inyección SpEL en la API `PUT /api/v1/policies`. La actualización evitará la posible ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-28253 is a critical vulnerability allowing authenticated users to execute arbitrary code in OpenMetadata Service versions ≤DEMO_BETA1 through a SpEL injection in the /api/v1/policies endpoint.
You are affected if you are running OpenMetadata Service versions prior to 1.3.1. Verify your version and upgrade immediately.
Upgrade to OpenMetadata Service version 1.3.1 or later to remediate the vulnerability. Restrict access to the /api/v1/policies endpoint as a temporary workaround.
While no widespread exploitation has been confirmed, the high CVSS score and ease of exploitation suggest a high probability of future attacks. Monitor for activity.
Refer to the OpenMetadata security advisories page for the latest information and updates: [https://open-metadata.org/security/](https://open-metadata.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.