「Apache InLong」に複数の脆弱性 - アップデートを

大量のデータを統合できるフレームワーク「Apache InLong」に複数の脆弱性が判明した。2023年12月にリリースされた最新版で修正されたという。

開発チームが現地時間1月3日に2件の脆弱性を明らかにしたもの。「CVE-2023-51784」は、リモートよりコードを実行されるおそれがあるコードインジェクションの脆弱性。

また信頼できないデータをデシリアライズする脆弱性「CVE-2023-51785」があわせて明らかとなった。「mysql ドライバ」を使用して任意のファイルを読み取られるおそれがある。開発チームでは、重要度をともに4段階中、上から2番目にあたる「重要（Important）」とレーティングした。

GitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを、「CVE-2023-51784」については「9.8」、「CVE-2023-51785」を「7.5」と評価。重要度をそれぞれ「クリティカル（Critical）」「高（High）」としている。

これら脆弱性は、現地時間2023年12月13日にリリースされた「同1.10.0」にて修正されており、アップデートなど対策を講じるよう呼びかけている。

（Security NEXT - 2024/01/04 ） ツイート

PR

関連記事

研究科サーバにサイバー攻撃、他機関のサーバ経由で - 神戸大
書籍購入者向けシステムでメアドなどが閲覧可能に - 金原出版
障害復旧作業用HDDが所在不明、内部の生徒情報 - 浦添市
元職員が個人情報を持出、サークル勧誘に利用 - 横須賀市の病院
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
体験型サービスの会員向けメールで誤送信 - キリンビール