Apache HertzBeat < 1.6.1 消息通知模版注入漏洞 - 北京赛克艾威科技有限公司

Apache HertzBeat < 1.6.1 消息通知模版注入漏洞

北京赛克艾威科技有限公司 2024-11-17

漏洞编号：CVE-2024-41151
漏洞等级：高危
漏洞标签：发布预警、公开漏洞
发布时间：2024-11-17

漏洞描述

Apache HertzBeat 是开源的实时监控工具，支持自定义监控消息通知模板。在受影响版本中，由于针对消息通知模板的内容存在未限制的反序列化逻辑，具有系统登录权限的攻击者可以利用该漏洞执行任意代码。

修复建议

1. 将组件 hertzbeat 升级至 1.6.1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-ti9h-1j32

https://www.mail-archive.com/announce@apache.org/msg09633.html

https://www.oscs1024.com/hd/MPS-ti9h-1j32