「Hadoop」のGUIである「Apache Ambari」に3件の脆弱性

「Hadoop」向けにウェブ管理機能を提供する「Apache Ambari」に複数の脆弱性が明らかとなった。アップデートで修正が行われている。

開発グループは、現地時間1月21日にメーリングリストへ投稿し、あわせて3件の脆弱性「CVE-2024-51941」「CVE-2025-23196」「CVE-2025-23195」について明らかにしたもの。

「CVE-2024-51941」は、「Ambari Metrics」および「AMS Alerts」に判明したコードインジェクションの脆弱性。「CVE-2025-23196」についてもアラートの定義において悪意あるシェルコマンドを注入できるコードインジェクションの脆弱性だという。

いずれも認証されたユーザーにより悪用が可能となる脆弱性としており、開発チームでは重要度を「重要（Important）」とした。

一方「CVE-2025-23195」は、XML外部実体参照（XXE）の脆弱性。サーバ上のファイルを読み込んだり、サーバサイドリクエストフォージェリ（SSRF）攻撃に利用されるおそれがある。重要度は1段階低い「中（Moderate）」とした。

（Security NEXT - 2025/01/23 ）ツイート