CVE-2024-51775
Apache Zeppelin: Command Injection via CSWSH
En resumen
Apache Zeppelin no valida el origen de las conexiones WebSocket, permitiendo que atacantes desde otros sitios web accedan al servidor y roben información interna sobre notebooks y párrafos sin autorización.
Detalle técnico
Falta de validación de origen en controladores WebSocket (vector CSWSH) permite que solicitudes entre orígenes eludan protecciones CORS, habilitando a atacantes para recuperar metadatos sensibles de párrafos e información interna de Zeppelin. Afecta versiones 0.11.1 hasta 0.11.x; requiere acceso de red al servidor Zeppelin.
Resumen generado y traducido por IA a partir de la descripción oficial.
Missing Origin Validation in WebSockets vulnerability in Apache Zeppelin.
The attacker could access the Zeppelin server from another origin without any restriction, and get internal information about paragraphs.
This issue affects Apache Zeppelin: from 0.11.1 before 0.12.0.
Users are recommended to upgrade to version 0.12.0, which fixes the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
Apache Software Foundation · Apache Zeppelin¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →