CVE-2024-28253 — 神龙十问 AI 深度分析摘要
CVSS 9.4 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:OpenMetadata 存在 **SpEL 注入漏洞**。 💥 **后果**:攻击者可利用此漏洞执行 **远程代码 (RCE)**,完全控制服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94 (代码生成中的控制代码不当处理)。 📍 **缺陷点**:`PUT /api/v1/policies` 接口中,`CompiledRule::validateExpression` 在处理用户输入时未做充分过滤,导致 SpEL 表达式被恶意执行。
Q3影响谁?(版本/组件)
📦 **产品**:OpenMetadata。 📅 **版本**:**1.3.1 之前**的所有版本。 🏢 **厂商**:open-metadata。
Q4黑客能干啥?(权限/数据)
👑 **权限**:无需认证 (PR:N)。 💾 **数据/影响**: - **C:H**:机密性极高(可读取所有数据)。 - **I:H**:完整性极高(可篡改数据)。 - **A:L**:可用性较低(但 RCE 通常意味着完全控制)。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**极低**。 - **网络**:远程 (AV:N)。 - **复杂度**:低 (AC:L)。 - **认证**:**无需认证** (PR:N)。 - **交互**:无需用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:有现成模板。 🔗 **来源**:ProjectDiscovery Nuclei 模板已收录 (CVE-2024-28253.yaml)。 🌍 **在野**:数据未明确提及大规模在野利用,但漏洞严重,需警惕。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 OpenMetadata 版本是否 < 1.3.1。 2. 使用 Nuclei 扫描 `PUT /api/v1/policies` 接口。 3. 关注 CodeQL 查询结果中的 `java-spel-expression-injection`。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已修复**。 ✅ **补丁版本**:**1.3.1** 及更高版本。 📢 **建议**:立即升级至 1.3.1+。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:官方声明 **无已知变通方法** (No known workarounds)。 🛑 **唯一建议**:尽快升级。若无法升级,考虑网络隔离或 WAF 拦截 `/api/v1/policies` 的 PUT 请求。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 - CVSS 评分高。 - **无需认证**即可 RCE。 - 元数据平台通常包含敏感数据,风险极大。 - **行动**:立即修补!