Apache Ranger में एक कोड इंजेक्शन भेद्यता है

यह भेद्यता हमलावरों को Apache Ranger सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती है। वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम कॉन्फ़िगरेशन बदल सकते हैं, या अन्य सिस्टम पर हमला करने के लिए इसका उपयोग कर सकते हैं। NashornScriptEngineCreator में भेद्यता का शोषण करने से हमलावर Ranger सर्वर पर मनमाना कोड निष्पादित कर सकता है, जिससे डेटा उल्लंघन, सिस्टम समझौता और संभावित रूप से अन्य कनेक्टेड सिस्टम पर प्रभाव पड़ सकता है। यह भेद्यता Log4Shell जैसी अन्य RCE भेद्यताओं के समान गंभीर है, क्योंकि यह हमलावरों को सिस्टम के भीतर व्यापक पहुंच प्राप्त करने की अनुमति देती है।

Organizations heavily reliant on Apache Ranger for data governance and security policy enforcement are at significant risk. Specifically, deployments using older versions of Ranger Plugins Common (≤2.7.0) are vulnerable. Environments where Ranger is integrated with sensitive data stores or critical infrastructure are particularly exposed.

• java / server:

ps -ef | grep Nashorn

• java / server:

find /opt/ranger/ -name "*NashornScriptEngineCreator.class"

• java / server:

journalctl -u ranger-plugins-common -g "NashornScriptEngineCreator"

1. 2026-03-03Disclosure

   disclosure

1. आरक्षित2025-09-08
2. प्रकाशित2026-03-03
3. संशोधित2026-03-09
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Apache Ranger Plugins Common को संस्करण 2.8.0 में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके NashornScriptEngineCreator से संबंधित इनपुट को ब्लॉक कर सकते हैं। इसके अतिरिक्त, Ranger कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि स्क्रिप्टिंग क्षमताओं को केवल विश्वसनीय स्रोतों से ही अनुमति दी गई है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, NashornScriptEngineCreator के माध्यम से दुर्भावनापूर्ण कोड निष्पादित करने का प्रयास करके।