一、 漏洞 CVE-2024-52577 基础信息
漏洞信息
                                        # Apache Ignite:服务器节点在反序列化传入消息时,可能存在RCE漏洞

## 漏洞概述
Apache Ignite 在某些端点配置的类序列化过滤器被忽略,导致攻击者可以通过构造恶意消息,触发任意代码执行。

## 影响版本
- 版本 2.6.0 至 2.17.0(不包括 2.17.0)

## 漏洞细节
攻击者可以手动构造包含易受攻击对象的 Ignite 消息,并将其发送到 Ignite 服务器端点。如果该对象的类存在于 Ignite 服务器的类路径中,服务器在反序列化该消息时可能会执行任意代码。

## 影响
此漏洞可能导致攻击者在 Apache Ignite 服务器上执行任意代码,从而危害服务器的安全性。
                                        
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Ignite: Possible RCE when deserializing incoming messages by the server node
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Apache Ignite versions from 2.6.0 and before 2.17.0, configured Class Serialization Filters are ignored for some Ignite endpoints. The vulnerability could be exploited if an attacker manually crafts an Ignite message containing a vulnerable object whose class is present in the Ignite server classpath and sends it to Ignite server endpoints. Deserialization of such a message by the Ignite server may result in the execution of arbitrary code on the Apache Ignite server side.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Ignite 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Ignite是美国阿帕奇(Apache)基金会的一套高性能、集成化和分布式的用于大规模的数据集处理的内存计算和事务管理平台。 Apache Ignite 2.6.0版本至2.17.0之前版本存在安全漏洞,该漏洞源于某些Ignite端点会忽略已配置的类序列化过滤器,可能会导致在服务器端执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52577 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-52577 的情报信息