平台
other
组件
cloudera-hue-ace-editor
修复版本
4.11.1
CVE-2025-3884 是 Cloudera Hue Ace Editor 中的目录遍历漏洞,允许远程攻击者泄露敏感信息。由于缺乏对用户提供的路径的适当验证,攻击者可以利用此漏洞访问受影响系统的文件。此漏洞影响 Cloudera Hue 4.11.0 版本,已于 4.11.1 版本修复。
该漏洞允许未经身份验证的攻击者通过构造恶意请求来访问 Cloudera Hue 服务器上的敏感文件。攻击者可以利用此漏洞读取配置文件、密钥文件或其他包含敏感信息的文档。潜在影响包括数据泄露、服务中断以及可能进一步的系统入侵。由于无需身份验证,攻击者可以轻松利用此漏洞,造成广泛的安全风险。此漏洞的潜在影响类似于其他目录遍历漏洞,可能导致对系统和数据的严重损害。
该漏洞已公开披露,并已发布到 NVD 数据库。目前尚无已知的公开利用程序,但由于漏洞的严重性和易于利用性,建议尽快采取缓解措施。该漏洞未被添加到 CISA KEV 目录中。攻击者可能正在积极扫描易受攻击的系统。
Organizations utilizing Cloudera Hue version 4.11.0, particularly those with publicly accessible Hue instances or those lacking robust file access controls, are at significant risk. Shared hosting environments where multiple users share the same Hue instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• linux / server:
journalctl -u hue -g "Ace Editor" | grep -i "file access"• generic web:
curl -I <hue_url>/ace/editor/index.html?file=/etc/passwd• generic web:
grep -r "ace/editor/index.html?file=" /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
9.79% (93% 百分位)
CISA SSVC
CVSS 向量
为了减轻 CVE-2025-3884 的风险,建议立即升级到 Cloudera Hue 4.11.1 或更高版本。如果无法立即升级,可以考虑实施临时缓解措施,例如限制对 Ace Editor 的访问权限,并审查 Hue 服务器上的文件权限。此外,应监控 Hue 服务器上的日志文件,以检测任何可疑活动。升级后,请验证漏洞是否已成功修复,例如尝试访问受保护的文件,确认访问被拒绝。
Actualice Cloudera Hue a una versión posterior a la 4.11.0 que haya solucionado la vulnerabilidad de directory traversal en el Ace Editor. Consulte las notas de la versión de Cloudera para obtener más detalles sobre la actualización y las mitigaciones específicas.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-3884 是 Cloudera Hue Ace Editor 中的一个目录遍历漏洞,允许攻击者泄露敏感信息。无需身份验证即可利用此漏洞。
如果您正在运行 Cloudera Hue 4.11.0 版本,则可能受到此漏洞的影响。请立即升级到 4.11.1 或更高版本。
建议升级到 Cloudera Hue 4.11.1 或更高版本。如果无法升级,请实施临时缓解措施,例如限制对 Ace Editor 的访问权限。
目前尚无已知的公开利用程序,但由于漏洞的严重性和易于利用性,建议尽快采取缓解措施。
请访问 Cloudera 的安全公告页面以获取更多信息:[https://www.cloudera.com/security/](https://www.cloudera.com/security/)