Plataforma
other
Componente
cloudera-hue-ace-editor
Corregido en
4.11.1
La vulnerabilidad CVE-2025-3884 es una falla de recorrido de directorios en Cloudera Hue Ace Editor que permite a atacantes remotos acceder a información sensible. Esta vulnerabilidad se debe a la falta de validación adecuada de las rutas proporcionadas por el usuario antes de utilizarlas en operaciones de archivos. Afecta a las versiones 4.11.0–4.11.0 de Cloudera Hue, y se ha solucionado en la versión 4.11.1.
Un atacante puede explotar esta vulnerabilidad para leer archivos arbitrarios en el sistema de archivos del servidor, potencialmente exponiendo datos confidenciales como contraseñas, claves de API, información de configuración y código fuente. La falta de autenticación requerida para la explotación amplía significativamente el riesgo, permitiendo a cualquier persona con acceso a la red explotar la vulnerabilidad. La divulgación de información podría comprometer la integridad y confidencialidad de los datos almacenados en el sistema Cloudera Hue. Aunque no se han reportado explotaciones públicas, la facilidad de explotación y la falta de autenticación hacen que esta vulnerabilidad sea un objetivo atractivo para atacantes.
CVE-2025-3884 fue publicado el 22 de mayo de 2025. No se ha añadido al KEV de CISA. No se han reportado públicamente exploits activos, pero la falta de autenticación necesaria para la explotación sugiere un riesgo moderado. La vulnerabilidad se identificó originalmente como ZDI-CAN-24332.
Organizations utilizing Cloudera Hue version 4.11.0, particularly those with publicly accessible Hue instances or those lacking robust file access controls, are at significant risk. Shared hosting environments where multiple users share the same Hue instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• linux / server:
journalctl -u hue -g "Ace Editor" | grep -i "file access"• generic web:
curl -I <hue_url>/ace/editor/index.html?file=/etc/passwd• generic web:
grep -r "ace/editor/index.html?file=" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
9.79% (93% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Cloudera Hue a la versión 4.11.1 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la aplicación Ace Editor solo a usuarios autorizados y configurar un firewall para bloquear el tráfico no autorizado. Implementar reglas de WAF (Web Application Firewall) que bloqueen solicitudes con rutas de archivo sospechosas puede ayudar a mitigar el riesgo. Monitorear los registros del servidor en busca de patrones de acceso inusuales o intentos de acceder a archivos no autorizados es crucial.
Actualice Cloudera Hue a una versión posterior a la 4.11.0 que haya solucionado la vulnerabilidad de directory traversal en el Ace Editor. Consulte las notas de la versión de Cloudera para obtener más detalles sobre la actualización y las mitigaciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3884 is a directory traversal vulnerability in Cloudera Hue Ace Editor allowing attackers to disclose sensitive files without authentication.
You are affected if you are running Cloudera Hue version 4.11.0. Upgrade to 4.11.1 or later to mitigate the risk.
Upgrade Cloudera Hue to version 4.11.1 or later. As a temporary workaround, restrict access to the Ace Editor functionality or implement strict file access controls.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the Cloudera security advisories page for the latest information and official guidance regarding CVE-2025-3884.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.