Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2025-23196

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2025-23196
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2025-23196

PUBLISHED 03.02.2025

CNA: apache

Apache Ambari: Code Injection Vulnerability in Ambari Alert Definition

Обновлено: 03.02.2025
A code injection vulnerability exists in the Ambari Alert Definition feature, allowing authenticated users to inject and execute arbitrary shell commands. The vulnerability arises when defining alert scripts, where the script filename field is executed using `sh -c`. An attacker with authenticated access can exploit this vulnerability to inject malicious commands, leading to remote code execution on the server. The issue has been fixed in the latest versions of Ambari.

CWE

Идентификатор Описание
CWE-77 CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection')

Доп. Информация

Product Status

Apache Ambari
Product: Apache Ambari
Vendor: Apache Software Foundation
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 8 до 2.7.9 affected
 

Ссылки

https://lists.apache.org/thread/70g1l5lxvko7kvhyxmtmklhhfrlon837

CVE Program Container

Обновлено: 21.01.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

http://www.openwall.com/lists/oss-security/2025/01/21/8

CISA ADP Vulnrichment

Обновлено: 22.01.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

CVSS

Оценка Severity Версия Базовый вектор
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 22.01.2025
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.