امکان اجرای کد از راه دور در اپلیکیشن‌های جاوا با آسیب‌پذیری بحرانی Apache Avro SDK (CVE-2024-47561) 

SECURITY NEWS

یک نقص امنیتی مهم در Apache Avro Java Software Development Kit (SDK) فاش شده است که در صورت اکسپلویت موفقیت‌آمیز، می‌تواند امکان اجرای کد دلخواه را در نسخه‌های آسیب‌پذیر فراهم سازد.

این نقص با شناسه CVE-2024-47561 و امتیاز CVSS: 9.3، تمامی نسخه‌های نرم‌افزار قبل از 1.11.4 را تحت تأثیر قرار می‌دهد. توسعه‌دهندگان پروژه در توصیه‌ای گفتند: «تجزیه طرحواره در Java SDK Apache Avro 1.11.3 و نسخه‌های قبلی به عوامل مخرب اجازه می‌دهد کد دلخواه را اجرا کنند. به کاربران توصیه شده است که به نسخه 1.11.4 یا 1.12.0 ارتقا دهند که این نقص را برطرف می‌کند.

Apache Avro، همانند بافرهای پروتکل گوگل (protobuf)، یک پروژه منبع‌باز است که چارچوب سریال‌سازی داده‌ها را برای پردازش داده در مقیاس بزرگ ارائه می‌کند. تیم Avro خاطرنشان کرد که اگر به کاربران اجازه دهد طرحواره‌های Avro خود را برای تجزیه ارائه کنند، این آسیب‌پذیری بر هر اپلیکیشنی تأثیر می‌گذارد.

https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html