Plateforme
java
Composant
org.openrefine:openrefine
Corrigé dans
3.8.4
3.8.3
La vulnérabilité CVE-2024-49760 est une faille de traversal de chemin (Path Traversal) affectant OpenRefine jusqu'à la version 3.8.2. Cette faille permet à un attaquant de lire des fichiers JSON arbitraires sur le système de fichiers. La commande load-language ne valide pas correctement le chemin du fichier de localisation, ce qui permet de contourner les restrictions d'accès. Une version corrigée, 3.8.3, est disponible.
Un attaquant peut exploiter cette vulnérabilité en fournissant une entrée malveillante au paramètre lang de la commande load-language. Cela permet de construire un chemin d'accès vers des fichiers JSON situés en dehors du répertoire prévu pour les traductions. La lecture de ces fichiers peut révéler des informations sensibles stockées dans des fichiers de configuration, des données de session, ou d'autres données confidentielles présentes sur le serveur. L'impact est significatif car l'attaquant peut potentiellement obtenir un accès non autorisé à des informations critiques, compromettant ainsi la confidentialité et l'intégrité du système OpenRefine et des données qu'il traite. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la simplicité de l'exploitation rend cette vulnérabilité préoccupante.
La vulnérabilité a été publiée le 24 octobre 2024. Il n'y a pas d'indication d'exploitation active à ce jour, mais la simplicité de l'exploitation suggère un risque potentiel. La vulnérabilité n'est pas répertoriée sur le KEV (Know Exploited Vulnerabilities) de CISA au moment de la rédaction. Un proof-of-concept public pourrait être développé, augmentant le risque d'exploitation.
Organizations using OpenRefine for data cleaning and transformation, particularly those running OpenRefine on publicly accessible servers or within shared hosting environments, are at risk. Systems with legacy OpenRefine installations or those lacking robust file system access controls are also more vulnerable.
• java / server: Monitor OpenRefine logs for requests containing suspicious directory traversal sequences in the lang parameter (e.g., ../).
• generic web: Use curl/wget to test the load-language endpoint with crafted lang parameters containing directory traversal sequences. Inspect the response for unexpected file content.
curl 'http://your-openrefine-server/load-language?lang=../../../../etc/passwd'disclosure
Statut de l'Exploit
EPSS
0.57% (percentile 68%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour OpenRefine vers la version 3.8.3 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures d'atténuation. Il est crucial de restreindre l'accès au répertoire contenant les fichiers de traduction et de s'assurer que seul le processus OpenRefine a les droits nécessaires pour y accéder. Une configuration de pare-feu (WAF) peut être mise en place pour bloquer les requêtes suspectes ciblant la commande load-language avec des paramètres lang malformés. Surveillez les journaux d'accès pour détecter les tentatives d'accès non autorisées aux fichiers JSON.
Actualice OpenRefine a la versión 3.8.3 o superior. Esta versión corrige la vulnerabilidad de path traversal en el comando load-language, impidiendo el acceso no autorizado a archivos en el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-49760 is a Path Traversal vulnerability in OpenRefine affecting versions up to 3.8.2. It allows attackers to read arbitrary JSON files from the server's file system.
You are affected if you are using OpenRefine version 3.8.2 or earlier. Upgrade to 3.8.3 to mitigate the risk.
Upgrade OpenRefine to version 3.8.3 or later. As a temporary workaround, implement a WAF rule to block requests with suspicious directory traversal sequences.
As of now, there are no confirmed reports of active exploitation of CVE-2024-49760.
Refer to the OpenRefine project's security advisories on their website or GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.