प्लेटफ़ॉर्म
java
घटक
org.apache.streampipes:streampipes-parent
में ठीक किया गया
0.95.2
0.97.0
CVE-2024-24778 Apache StreamPipes में एक विशेषाधिकार प्रबंधन की कमी है। इस कमजोरी के कारण, पंजीकृत उपयोगकर्ता संसाधन ID जानने पर अनधिकृत संसाधनों तक पहुँच प्राप्त कर सकते हैं। यह Apache StreamPipes के संस्करण 0.95.1 और उससे पहले के संस्करणों को प्रभावित करता है। इस समस्या को Apache StreamPipes के संस्करण 0.97.0 में ठीक किया गया है।
यह कमजोरी हमलावर को Apache StreamPipes इंस्टेंस के भीतर अनधिकृत डेटा तक पहुँचने और संभावित रूप से उसे बदलने की अनुमति देती है। हमलावर उन संसाधनों तक पहुँच सकता है जिनके लिए उसके पास अनुमति नहीं होनी चाहिए, जिससे डेटा गोपनीयता और अखंडता से समझौता हो सकता है। यदि StreamPipes का उपयोग महत्वपूर्ण डेटा प्रोसेसिंग के लिए किया जाता है, तो इस कमजोरी का फायदा उठाकर हमलावर सिस्टम के संचालन को बाधित कर सकता है या गलत जानकारी प्रसारित कर सकता है। यह कमजोरी अन्य प्रणालियों में आगे बढ़ने के लिए एक शुरुआती बिंदु के रूप में भी काम कर सकती है, खासकर यदि StreamPipes अन्य संवेदनशील प्रणालियों के साथ एकीकृत है।
CVE-2024-24778 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन मध्यम गंभीरता का मूल्यांकन इंगित करता है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन इस प्रकार की विशेषाधिकार वृद्धि कमजोरियों का फायदा उठाना आम है। इस CVE को 2025-03-03 को प्रकाशित किया गया था।
Organizations deploying Apache StreamPipes for data streaming and analytics are at risk, particularly those using older versions (≤0.95.1). Environments with shared user accounts or less stringent access controls are especially vulnerable. Those relying on StreamPipes for critical data processing or sensitive information handling should prioritize remediation.
• java / server:
ps -ef | grep streampipes• java / server:
journalctl -u streampipes -f | grep -i "access denied"• java / server:
curl -I http://<streampipes_host>/api/v1/resources/<resource_id>
# Check for 200 OK response when access should be denieddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (35% शतमक)
CVSS वेक्टर
इस कमजोरी को कम करने के लिए, Apache StreamPipes को संस्करण 0.97.0 या बाद के संस्करण में तुरंत अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड तत्काल संभव नहीं है, तो अनधिकृत संसाधनों तक पहुँच को सीमित करने के लिए एक्सेस कंट्रोल लिस्ट (ACL) को कड़ाई से कॉन्फ़िगर करें। सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं को ही आवश्यक संसाधनों तक पहुँच प्राप्त है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत अनुरोधों को ब्लॉक करने पर विचार करें। नियमित सुरक्षा ऑडिट और प्रवेश परीक्षण भी कमजोरियों की पहचान करने और उन्हें कम करने में मदद कर सकते हैं। अपग्रेड के बाद, यह सत्यापित करें कि विशेषाधिकार प्रबंधन ठीक से काम कर रहा है और अनधिकृत पहुँच अब संभव नहीं है।
Actualice Apache StreamPipes a la versión 0.97.0 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios. La actualización evitará que usuarios no autorizados accedan a recursos a los que no deberían tener acceso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-24778 Apache StreamPipes में अनुचित विशेषाधिकार प्रबंधन के कारण पंजीकृत उपयोगकर्ता अनधिकृत संसाधनों तक पहुँच सकते हैं।
यदि आप Apache StreamPipes के संस्करण 0.95.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Apache StreamPipes को संस्करण 0.97.0 या बाद के संस्करण में अपग्रेड करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, लेकिन मध्यम गंभीरता का मूल्यांकन इंगित करता है कि इसका शोषण किया जा सकता है।
Apache StreamPipes आधिकारिक सलाहकार के लिए Apache की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।