OpenMetadata 漏洞列表
共找到 13 个与 OpenMetadata 相关的漏洞
📅 加载漏洞趋势中...
-
CVE-2024-28255: OpenMetadata RCE POC
OpenMetadata 是一种一体化元数据管理平台,旨在提供一个统一的接口来查找和浏览各种数据集的元数据信息,并支持与其他数据工具和服务的集成,condition接口存在远程命令执行漏洞。 -
OpenMetadata存在默认账号密码 无POC
OpenMetadata存在默认账号密码,攻击者可以登录后台获取后台权限。 -
CVE-2024-28255: OpenMetadata - Authentication Bypass POC
OpenMetadata is a unified platform for discovery, observability, and governance powered by a central metadata repository, in-depth lineage, and seamless team collaboration. The `JwtFilter` handles the API authentication by requiring and verifying JWT tokens. When a new request comes in, the request's path is checked against this list. When the request's path contains any of the excluded endpoints the filter returns without validating the JWT. Unfortunately, an attacker may use Path Parameters to make any path contain any arbitrary strings. For example, a request to `GET /api/v1;v1%2fusers%2flogin/events/subscriptions/validation/condition/111` will match the excluded endpoint condition and therefore will be processed with no JWT validation allowing an attacker to bypass the authentication mechanism and reach any arbitrary endpoint, including the ones listed above that lead to arbitrary SpEL expression injection. This bypass will not work when the endpoint uses the `SecurityContext.getUserPrincipal()` since it will return `null` and will throw an NPE. This issue may lead to authentication bypass and has been addressed in version 1.2.4. Users are advised to upgrade. There are no known workarounds for this vulnerability. This issue is also tracked as `GHSL-2023-237`. -
OpenMetadata CVE-2024-28255 认证绕过漏洞 无POC
OpenMetadata中存在认证绕过漏洞,此漏洞是由于JwtFilter未充分验证用户身份所导致的。 -
OpenMetadata CVE-2024-28253 代码执行漏洞 无POC
OpenMetadata中存在代码执行漏洞,此漏洞是由于policies接口未充分验证用户输入的数据所导致的。 -
OpenMetadata CVE-2024-28848 代码执行漏洞 无POC
OpenMetadata中存在代码执行漏洞,此漏洞是由于condition接口未充分验证用户输入的数据所导致的。 -
OpenMetadata CVE-2024-28254 代码执行漏洞 无POC
OpenMetadata中存在代码执行漏洞,此漏洞是由于condition接口未充分验证用户输入的数据所导致的。 -
OpenMetadata CVE-2024-28847 代码执行漏洞 无POC
OpenMetadata中存在代码执行漏洞,此漏洞是由于subscriptions接口未充分验证用户输入的数据所导致的。 -
OpenMetadata SEPL注入漏洞 无POC
OpenMetadata SEPL注入漏洞 -
OpenMetadata SPEL注入漏洞 无POC
OpenMetadata SPEL注入漏洞 -
OpenMetadata /api/v1 命令执行漏洞 (CVE-2024-28255) 无POC
OpenMetadata是一个统一的发现、可观察和治理平台,由中央元数据存储库、深入的沿袭和无缝团队协作提供支持。 OpenMetadata存在安全漏洞,该漏洞源于当请求的路径包含任何排除的端点时,过滤器将返回而不验证 JWT。导致未经身份验证的远程攻击者可以利用该漏洞远程命令执行,获取服务器权限。 -
OpenMetadata policies/validation/condition 存在命令执行洞 无POC
OpenMetadata是一个统一的发现、可观察性和治理平台,由中央元数据存储库、深入沿袭和无缝团队协作提供支持。OpenMetadata存在命令执行漏洞,攻击者可以利用该漏洞,获取服务器权限 -
OpenMetadata存在命令执行漏洞 无POC
OpenMetadata是一个统一的发现、可观察性和治理平台,由中央元数据存储库、深入沿袭和无缝团队协作提供支持。OpenMetadata存在命令执行漏洞,攻击者可以利用该漏洞,获取服务器权限