发布日期：2024-03-15
更新日期：2024-05-10

受影响系统：

OpenMetadata OpenMetadata < 1.2.4

描述：

---

CVE(CAN) ID: CVE-2024-28255

OpenMetadata是一个统一的发现、可观察和治理平台，由中央元数据存储库、深入的沿袭和无缝团队协作提供支持。
OpenMetadata 1.2.4之前版本存在身份认证错误漏洞，该漏洞源于程序未验证JWT，攻击者可利用该漏洞绕过身份认证机制并进行SpEL表达式注入。

<**>

建议：

---

厂商补丁：

OpenMetadata
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/open-metadata/OpenMetadata/blob/e2043a3f31312ebb42391d6c93a67584d798de52/openmetadata-service/src/main/java/org/openmetadata/service/security/JwtFilter.java#L111

浏览次数：503
严重程度：0（网友投票）