Apache - CVE-2025-59059
Date de publication :
Il s’agit d’une vulnérabilité dans Apache Ranger, au niveau du composant NashornScriptEngineCreator.
Apache Ranger est une solution de gestion centralisée des politiques de sécurité et d’audit pour des environnements Big Data (contrôle d’accès à des services comme Hadoop/HDFS/Hive, etc.).
Le traitement associé à ce composant peut conduire à une injection de code permettant l’exécution de code arbitraire côté serveur, via une interaction à distance avec l’application.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Risques
Exécution de code arbitraire (à distance)
Exploitation
La vulnérabilité exploitée est du type
CWE-94 : Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
CWE-94 : Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Apache Ranger versions 2.7.0 et antérieures.
Solutions ou recommandations
Apache Ranger versions 2.8.0 et supérieures.