【漏洞预警】Apache InLong任意文件读取漏洞(CVE-2025-27531)

cexlife 飓风网络安全 2025-02-28 14:15

漏洞描述:

Aрасhе InLоnɡ是一款用于数据集成的开源框架,广泛应用于大数据处理场景,该漏洞存在于Aрасhе InLоnɡ的JDBC功能中,由于对用户输入的参数处理不当,攻击者可以通过精心构造的请求绕过安全限制,实现任意文件读取。

攻击场景:

攻击者可能通过精心构造的请求绕过安全限制,实现任意文件读取。

影响产品:

1.13.0 < Apache InLong < 2.1.0 

修复建议:

用户应尽快升级到Aрасhе InLоnɡ 2.1.0或更高版本,该版本已修复该漏洞 

限制访问权限:限制对Aрасhе InLоnɡ服务的网络访问,仅允许可信来源进行连接。

输入验证:对所有用户输入进行严格验证,避免反序列化不可信数据。

安全审计:定期对系统进行安全审计,检查是否存在其他潜在的安全问题。