[TLP:CLEAR] Apache Lucene.Net.Replicator opravuje vysoce závažnou zranitelnost
Apache verzí 4.8.0-beta00017 opravuje vysoce závažnou zranitelnost v knihovně Lucene.Net.Replicator [1].
Autentizovanému vzdálenému útočníkovi je za určitých podmínek skrze deserializaci specificky vytvořené JSON odpovědi umožněno vykonání vzdáleného spuštění kódu či jiný potenciálně neoprávněný přístup [2].
Zranitelnost se nachází v produktu Lucene.Net.Replicator ve verzích >=4.8.0-beta00005 AND <=4.8.0-beta00016.
CVSS: CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-43383 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 31. 10. 2024.