Plataforma
other
Componente
cloudera-hue-ace-editor
Corrigido em
4.11.1
Uma vulnerabilidade de Directory Traversal foi descoberta no Cloudera Hue Ace Editor, afetando as versões 4.11.0 a 4.11.0. Essa falha permite que atacantes remotos divulguem informações sensíveis, explorando a falta de validação adequada de caminhos de arquivos. A atualização para a versão 4.11.1 corrige essa vulnerabilidade, mitigando o risco de exposição de dados.
A vulnerabilidade de Directory Traversal no Cloudera Hue Ace Editor permite que um atacante remoto acesse arquivos e diretórios no sistema de arquivos do servidor, potencialmente expondo informações confidenciais. Como a autenticação não é necessária para explorar a falha, qualquer usuário externo pode tentar explorar a vulnerabilidade. O impacto pode variar dependendo dos arquivos acessíveis, mas pode incluir credenciais de configuração, dados de usuários, logs sensíveis e outros dados confidenciais. A exploração bem-sucedida pode levar a uma violação de dados significativa e comprometimento da integridade do sistema.
A vulnerabilidade foi descoberta e relatada à Cloudera através do programa ZDI. A data de publicação pública da CVE é 2025-05-22. Não há indicações de exploração ativa em campanhas direcionadas no momento da publicação. A probabilidade de exploração é considerada média, dada a facilidade de exploração e a falta de autenticação necessária.
Organizations utilizing Cloudera Hue version 4.11.0, particularly those with publicly accessible Hue instances or those lacking robust file access controls, are at significant risk. Shared hosting environments where multiple users share the same Hue instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• linux / server:
journalctl -u hue -g "Ace Editor" | grep -i "file access"• generic web:
curl -I <hue_url>/ace/editor/index.html?file=/etc/passwd• generic web:
grep -r "ace/editor/index.html?file=" /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
9.79% (percentil 93%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-3884 é atualizar o Cloudera Hue Ace Editor para a versão 4.11.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede, monitorar o tráfego de rede em busca de atividades suspeitas e configurar um Web Application Firewall (WAF) para bloquear tentativas de exploração. Revise as permissões de arquivos e diretórios para garantir que apenas usuários autorizados tenham acesso aos recursos sensíveis. Implementar regras de firewall para limitar o acesso ao componente Hue.
Actualice Cloudera Hue a una versión posterior a la 4.11.0 que haya solucionado la vulnerabilidad de directory traversal en el Ace Editor. Consulte las notas de la versión de Cloudera para obtener más detalles sobre la actualización y las mitigaciones específicas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3884 is a directory traversal vulnerability in Cloudera Hue Ace Editor allowing attackers to disclose sensitive files without authentication.
You are affected if you are running Cloudera Hue version 4.11.0. Upgrade to 4.11.1 or later to mitigate the risk.
Upgrade Cloudera Hue to version 4.11.1 or later. As a temporary workaround, restrict access to the Ace Editor functionality or implement strict file access controls.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate attention.
Refer to the Cloudera security advisories page for the latest information and official guidance regarding CVE-2025-3884.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.