Plataforma
java
Componente
org.openrefine:openrefine
Corrigido em
3.8.4
3.8.3
A vulnerabilidade CVE-2024-49760 é uma falha de Path Traversal identificada no OpenRefine, uma ferramenta de limpeza e transformação de dados. Essa falha permite que um atacante acesse arquivos JSON arbitrários no sistema, comprometendo a confidencialidade dos dados. Versões do OpenRefine anteriores ou iguais a 3.8.2 são afetadas. A correção está disponível na versão 3.8.3.
Um atacante pode explorar essa vulnerabilidade fornecendo um parâmetro lang malicioso ao comando load-language. A ausência de validação adequada do caminho resultante permite que o atacante especifique um caminho para qualquer arquivo JSON acessível pelo usuário que executa o OpenRefine. Isso pode levar à exposição de informações confidenciais armazenadas nesses arquivos, como senhas, chaves de API ou dados sensíveis de projetos. O impacto potencial é a divulgação de dados e, em cenários mais graves, a execução de código malicioso se arquivos de configuração críticos forem comprometidos. A vulnerabilidade se assemelha a outras falhas de Path Traversal onde a falta de validação de entrada permite o acesso não autorizado a recursos do sistema.
A vulnerabilidade foi publicada em 2024-10-24. Não há informações disponíveis sobre a adição a KEV ou a existência de Exploit Publicamente Disponível (PoC). A probabilidade de exploração é considerada baixa a média, dependendo da exposição do OpenRefine e da conscientização sobre a vulnerabilidade.
Organizations using OpenRefine for data cleaning and transformation, particularly those running OpenRefine on publicly accessible servers or within shared hosting environments, are at risk. Systems with legacy OpenRefine installations or those lacking robust file system access controls are also more vulnerable.
• java / server: Monitor OpenRefine logs for requests containing suspicious directory traversal sequences in the lang parameter (e.g., ../).
• generic web: Use curl/wget to test the load-language endpoint with crafted lang parameters containing directory traversal sequences. Inspect the response for unexpected file content.
curl 'http://your-openrefine-server/load-language?lang=../../../../etc/passwd'disclosure
Status do Exploit
EPSS
0.57% (percentil 68%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o OpenRefine para a versão 3.8.3 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, implemente uma validação rigorosa do caminho no comando load-language. Certifique-se de que o caminho normalizado esteja estritamente dentro do diretório de traduções esperado. Considere a implementação de uma camada de proteção adicional, como um Web Application Firewall (WAF), para bloquear solicitações maliciosas que tentem explorar essa vulnerabilidade. Monitore os logs do sistema em busca de tentativas de acesso a arquivos JSON fora do diretório esperado.
Actualice OpenRefine a la versión 3.8.3 o superior. Esta versión corrige la vulnerabilidad de path traversal en el comando load-language, impidiendo el acceso no autorizado a archivos en el sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-49760 is a Path Traversal vulnerability in OpenRefine affecting versions up to 3.8.2. It allows attackers to read arbitrary JSON files from the server's file system.
You are affected if you are using OpenRefine version 3.8.2 or earlier. Upgrade to 3.8.3 to mitigate the risk.
Upgrade OpenRefine to version 3.8.3 or later. As a temporary workaround, implement a WAF rule to block requests with suspicious directory traversal sequences.
As of now, there are no confirmed reports of active exploitation of CVE-2024-49760.
Refer to the OpenRefine project's security advisories on their website or GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.