Platform
java
Component
org.openrefine:openrefine
Opgelost in
3.8.4
3.8.3
CVE-2024-49760 beschrijft een Path Traversal kwetsbaarheid in OpenRefine. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot JSON-bestanden op het bestandssysteem. De kwetsbaarheid treft versies van OpenRefine tot en met 3.8.2. Een patch is beschikbaar in versie 3.8.3.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie opgeslagen in JSON-bestanden. Dit kan omvatten configuratiegegevens, gebruikersgegevens of andere vertrouwelijke informatie. Afhankelijk van de context waarin OpenRefine wordt gebruikt, kan dit leiden tot verdere compromittering van het systeem of de data. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden, waarbij de aanvaller de directory structuur kan 'navigeren' om bestanden te lezen die niet direct toegankelijk zouden moeten zijn.
De kwetsbaarheid is openbaar bekend gemaakt op 2024-10-24. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De kans op actieve exploitatie is momenteel als gemiddeld ingeschat, gezien de publicatie en de relatieve eenvoud van de exploitatie.
Organizations using OpenRefine for data cleaning and transformation, particularly those running OpenRefine on publicly accessible servers or within shared hosting environments, are at risk. Systems with legacy OpenRefine installations or those lacking robust file system access controls are also more vulnerable.
• java / server: Monitor OpenRefine logs for requests containing suspicious directory traversal sequences in the lang parameter (e.g., ../).
• generic web: Use curl/wget to test the load-language endpoint with crafted lang parameters containing directory traversal sequences. Inspect the response for unexpected file content.
curl 'http://your-openrefine-server/load-language?lang=../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.57% (68% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar OpenRefine versie 3.8.3 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan het beperken van de toegang tot het OpenRefine-bestandssysteem helpen om de impact te verminderen. Controleer de directory permissies en zorg ervoor dat alleen geautoriseerde gebruikers toegang hebben tot de relevante bestanden. Een WAF kan mogelijk worden geconfigureerd om pogingen tot path traversal te detecteren en te blokkeren, maar dit is geen vervanging voor het toepassen van de patch.
Actualice OpenRefine a la versión 3.8.3 o superior. Esta versión corrige la vulnerabilidad de path traversal en el comando load-language, impidiendo el acceso no autorizado a archivos en el sistema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-49760 is a Path Traversal vulnerability in OpenRefine affecting versions up to 3.8.2. It allows attackers to read arbitrary JSON files from the server's file system.
You are affected if you are using OpenRefine version 3.8.2 or earlier. Upgrade to 3.8.3 to mitigate the risk.
Upgrade OpenRefine to version 3.8.3 or later. As a temporary workaround, implement a WAF rule to block requests with suspicious directory traversal sequences.
As of now, there are no confirmed reports of active exploitation of CVE-2024-49760.
Refer to the OpenRefine project's security advisories on their website or GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.