یک نقص امنیتی مهم در Apache Avro Java Software Development Kit (SDK) فاش شده است که در صورت اکسپلویت موفقیتآمیز، میتواند امکان اجرای کد دلخواه را در نسخههای آسیبپذیر فراهم سازد.
این نقص با شناسه CVE-2024-47561 و امتیاز CVSS: 9.3، تمامی نسخههای نرمافزار قبل از 1.11.4 را تحت تأثیر قرار میدهد. توسعهدهندگان پروژه در توصیهای گفتند: «تجزیه طرحواره در Java SDK Apache Avro 1.11.3 و نسخههای قبلی به عوامل مخرب اجازه میدهد کد دلخواه را اجرا کنند. به کاربران توصیه شده است که به نسخه 1.11.4 یا 1.12.0 ارتقا دهند که این نقص را برطرف میکند.
Apache Avro، همانند بافرهای پروتکل گوگل (protobuf)، یک پروژه منبعباز است که چارچوب سریالسازی دادهها را برای پردازش داده در مقیاس بزرگ ارائه میکند. تیم Avro خاطرنشان کرد که اگر به کاربران اجازه دهد طرحوارههای Avro خود را برای تجزیه ارائه کنند، این آسیبپذیری بر هر اپلیکیشنی تأثیر میگذارد.
https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html