CVE-2024-47552: Kritische Sicherheitslücke in Apache Seata

Zusammenfassung

Eine kritische Sicherheitslücke in der Deserialisierung von Daten wurde in Apache Seata gefunden. Betroffen sind Versionen von 2.0.0 bis vor 2.2.0. Allerdings ist die Lücke auf den optionalen Raft-Cluster-Modus beschränkt, den die meisten Nutzer nicht verwenden. Außerdem findet die Kommunikation zwischen den Seata-Komponenten normalerweise in internen Netzwerken statt, was eine Ausnutzung erschwert. Nutzer werden empfohlen, auf Version 2.2.0 zu aktualisieren, die das Problem behebt.

Deserialization of Untrusted Data vulnerability in Apache Seata (incubating). This issue affects Apache Seata (incubating): from 2.0.0 before 2.2.0. Severity Justification: The Apache Seata security team assesses the severity of this vulnerability as "Low" due to stringent real-world mitigating factors. First, the vulnerability is strictly isolated to the Raft cluster mode, an optional and non-default feature introduced in v2.0.0, while most users rely on the unaffected traditional architecture. Second, Seata is an internal middleware; communication between TC and RM/TM occurs entirely within trusted internal networks. An attacker would require prior, unauthorized access to the Intranet to exploit this, making external exploitation highly improbable. Users are recommended to upgrade to version 2.2.0, which fixes the issue.