一、 漏洞 CVE-2025-47410 基础信息
漏洞信息
# Apache Geode 跨站请求伪造漏洞
## 概述
Apache Geode 存在 CSRF(跨站请求伪造)漏洞,攻击者可利用该漏洞通过向管理与监控 REST API 发送 GET 请求,执行恶意操作。
## 影响版本
- 受影响版本:Apache Geode 1.10 至 1.15.1
## 细节
- 漏洞存在于 Management and Monitoring REST API。
- 攻击者需欺骗用户泄露其 Geode 会话凭证。
- 利用该凭证,攻击者可通过 CSRF 攻击以已认证用户身份提交恶意命令。
## 影响
攻击者可利用此漏洞在受害者已认证的会话上下文中执行任意命令,可能导致数据泄露、系统破坏或其他未经授权的操作。
## 解决方案
- 推荐升级至 Apache Geode 1.15.2 版本,该版本已修复该漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Geode: CSRF attacks through GET requests to the Management and Monitoring REST API that can execute gfsh commands on the target system
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Apache Geode is vulnerable to CSRF attacks through GET requests to the Management and Monitoring REST API that could allow an attacker who has tricked a user into giving up their Geode session credentials to submit malicious commands on the target system on behalf of the authenticated user.
This issue affects Apache Geode: versions 1.10 through 1.15.1
Users are recommended to upgrade to version 1.15.2, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Geode 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Geode是美国阿帕奇(Apache)基金会的一套应用于分布式云架构中提供对数据密集型应用程序实时和一致访问数据的管理平台。 Apache Geode 1.15.1及之前版本存在跨站请求伪造漏洞,该漏洞源于管理监控REST API的GET请求容易受到跨站请求伪造攻击,可能导致攻击者提交恶意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-47410 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-47410 的情报信息
-
标题: CVE-2025-47410: Apache Geode: CSRF attacks through GET requests to the Management and Monitoring REST API that can execute gfsh commands on the target system-Apache Mail Archives -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-47410
四、漏洞 CVE-2025-47410 的评论
暂无评论