Platform
other
Component
cloudera-hue-ace-editor
Opgelost in
4.11.1
CVE-2025-3884 beschrijft een Directory Traversal kwetsbaarheid in Cloudera Hue Ace Editor. Deze kwetsbaarheid stelt een aanvaller in staat om gevoelige informatie te onthullen door middel van ongevalideerde bestandspaden. De kwetsbaarheid treft Cloudera Hue versies 4.11.0 tot en met 4.11.0. Een upgrade naar versie 4.11.1 is beschikbaar om dit probleem te verhelpen.
Deze Directory Traversal kwetsbaarheid in Cloudera Hue Ace Editor maakt het mogelijk voor een aanvaller om, zonder authenticatie, toegang te krijgen tot bestanden en directories buiten de beoogde applicatiecontext. Dit kan leiden tot het blootleggen van gevoelige configuratiebestanden, broncode, of andere vertrouwelijke gegevens die op de server zijn opgeslagen. De impact is aanzienlijk, aangezien de aanvaller geen inloggegevens nodig heeft om de kwetsbaarheid te exploiteren. Een succesvolle exploitatie kan resulteren in data-exfiltratie en mogelijk verdere toegang tot het onderliggende systeem, afhankelijk van de rechten van de service account onder welke Hue draait.
Deze kwetsbaarheid werd gerapporteerd aan Cloudera via ZDI-CAN-24332. Er is geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven. De kwetsbaarheid is openbaar gemaakt op 2025-05-22.
Organizations utilizing Cloudera Hue version 4.11.0, particularly those with publicly accessible Hue instances or those lacking robust file access controls, are at significant risk. Shared hosting environments where multiple users share the same Hue instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• linux / server:
journalctl -u hue -g "Ace Editor" | grep -i "file access"• generic web:
curl -I <hue_url>/ace/editor/index.html?file=/etc/passwd• generic web:
grep -r "ace/editor/index.html?file=" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
9.79% (93% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-3884 is het upgraden van Cloudera Hue Ace Editor naar versie 4.11.1 of hoger. Indien een directe upgrade niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) met regels die Directory Traversal pogingen detecteren en blokkeren een tijdelijke bescherming bieden. Controleer ook de configuratie van Hue en beperk de toegang tot gevoelige directories. Het monitoren van toegangspogingen tot ongebruikelijke bestandspaden in de Hue-applicatie kan verdere indicaties van exploitatie detecteren.
Actualice Cloudera Hue a una versión posterior a la 4.11.0 que haya solucionado la vulnerabilidad de directory traversal en el Ace Editor. Consulte las notas de la versión de Cloudera para obtener más detalles sobre la actualización y las mitigaciones específicas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-3884 is a directory traversal vulnerability in Cloudera Hue Ace Editor allowing attackers to disclose sensitive files without authentication.
You are affected if you are running Cloudera Hue version 4.11.0. Upgrade to 4.11.1 or later to mitigate the risk.
Upgrade Cloudera Hue to version 4.11.1 or later. As a temporary workaround, restrict access to the Ace Editor functionality or implement strict file access controls.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the Cloudera security advisories page for the latest information and official guidance regarding CVE-2025-3884.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.