प्लेटफ़ॉर्म
other
घटक
cloudera-hue-ace-editor
में ठीक किया गया
4.11.1
CVE-2025-3884 Cloudera Hue Ace Editor में एक डायरेक्टरी ट्रैवर्सल भेद्यता है। यह भेद्यता दूरस्थ हमलावरों को प्रभावित इंस्टॉलेशन पर संवेदनशील जानकारी उजागर करने की अनुमति देती है। यह भेद्यता Cloudera Hue के संस्करण 4.11.0–4.11.0 को प्रभावित करती है। इस समस्या को संस्करण 4.11.1 में ठीक किया गया है।
यह भेद्यता हमलावरों को उचित फ़ाइल पथ सत्यापन की कमी का फायदा उठाकर संवेदनशील जानकारी उजागर करने की अनुमति देती है। हमलावर सेवा खाते के संदर्भ में फ़ाइलों तक पहुँच सकते हैं, जिससे गोपनीय डेटा का खुलासा हो सकता है। चूंकि प्रमाणीकरण की आवश्यकता नहीं है, इसलिए भेद्यता का फायदा उठाना अपेक्षाकृत आसान है। इस भेद्यता का उपयोग सिस्टम कॉन्फ़िगरेशन फ़ाइलों, लॉग फ़ाइलों या अन्य संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता अन्य प्रणालियों में आगे बढ़ने के लिए एक प्रारंभिक बिंदु के रूप में भी काम कर सकती है।
यह भेद्यता अभी तक KEV में शामिल नहीं है, लेकिन CVSS स्कोर 7.5 (HIGH) इंगित करता है कि इसका शोषण होने की मध्यम संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। यह भेद्यता 2025-05-22 को प्रकाशित हुई थी।
Organizations utilizing Cloudera Hue version 4.11.0, particularly those with publicly accessible Hue instances or those lacking robust file access controls, are at significant risk. Shared hosting environments where multiple users share the same Hue instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• linux / server:
journalctl -u hue -g "Ace Editor" | grep -i "file access"• generic web:
curl -I <hue_url>/ace/editor/index.html?file=/etc/passwd• generic web:
grep -r "ace/editor/index.html?file=" /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
9.79% (93% शतमक)
CISA SSVC
CVSS वेक्टर
Cloudera Hue को संस्करण 4.11.1 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अनधिकृत फ़ाइल एक्सेस को रोकने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। फ़ाइल पथ सत्यापन को मजबूत करना भी एक महत्वपूर्ण कदम है। सुनिश्चित करें कि सभी उपयोगकर्ता-प्रदत्त पथों को ठीक से मान्य किया गया है और किसी भी दुर्भावनापूर्ण इनपुट को फ़िल्टर किया गया है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल एक्सेस प्रयासों का परीक्षण करके सत्यापित करें।
Actualice Cloudera Hue a una versión posterior a la 4.11.0 que haya solucionado la vulnerabilidad de directory traversal en el Ace Editor. Consulte las notas de la versión de Cloudera para obtener más detalles sobre la actualización y las mitigaciones específicas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-3884 Cloudera Hue Ace Editor में एक डायरेक्टरी ट्रैवर्सल भेद्यता है जो हमलावरों को संवेदनशील जानकारी उजागर करने की अनुमति देती है।
यदि आप Cloudera Hue Ace Editor के संस्करण 4.11.0–4.11.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Cloudera Hue को संस्करण 4.11.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें और फ़ाइल पथ सत्यापन को मजबूत करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।
कृपया Cloudera सुरक्षा सलाहकार के लिए Cloudera की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।