Apache Avro SDK存在的重大漏洞

关键要点

• Apache Avro Java Software Development Kit出现CVE-2024-47561漏洞，可能导致Java应用程序任意代码执行。
• 此漏洞影响所有版本至1.11.3的Apache Avro实例。
• 组织被建议尽快升级到1.11.4或1.12.0版本以修复此问题。

最近的报告指出，威胁行为者可能会利用一个关键的 Avro Java软件开发工具包漏洞，编号为 CVE-2024-47561，使得在Java应用程序中执行任意代码成为可能，报道。

这一问题由Databricks安全团队成员Kostya Kortchinsky识别并报告，Qualys的威胁研究经理MayureshDani指出，所有版本至1.11.3的ApacheAvro实例均受影响。他还提到，通过Kafka，可能会对该漏洞进行进一步利用。Dani表示：“由于ApacheAvro是一个开源项目，它被许多组织使用。根据公开可得的数据，这些组织大多数位于美国。未修补、未监控和未保护的情况下，确实会带来许多安全隐患。”因此，拥有易受攻击的ApacheAvro实现的组织已被项目维护者敦促，立即升级至版本1.11.4或1.12.0以解决此问题。

请各相关组织务必重视此漏洞，及时采取行动确保系统安全。

各组织应尽快采取措施，以免漏洞被恶意利用带来不必要的损失。