分散式資料庫系統Apache Ignite存在9.5分重大漏洞，攻擊者可用來任意執行程式碼

最近兩、三個月，Apache基金會對於旗下專案修補資安漏洞，而且有不少是重大層級相當危險，最近有資安新聞媒體報導該基金會修補資料庫軟體的情形，引起我們的注意。

2月14日Apache基金會指出，旗下的分散式資料庫Ignite存在重大層級資安漏洞CVE-2024-52577，伺服器節點反序列化來源訊息的過程裡，有可能讓攻擊者遠端執行任意程式碼（RCE），第4版CVSS風險評分為9.5（滿分10分）。對此，該基金會發布2.17.0版修補。

這項弱點的影響範圍，為2.6.0至2.16.0版Ignite，原因是部分Ignite端點會忽略完成設定的類別序列化過濾器（Class Serialization Filter）。攻擊者使用存在弱點的物件，打造特製的Ignite訊息並傳送到伺服器端點，一旦Ignite伺服器反序列化這種訊息，攻擊者就有機會於伺服器執行任意程式碼。