OpenMetadata is a unified metadata platform. Versions prior to 1.11.4 are vulnerable to remote code execution via Server-Side Template Injection (SSTI) in FreeMarker email templates. An attacker must have administrative privileges to exploit the vulnerability. Version 1.11.4 contains a patch.
OpenMetadata versions prior to 1.11.4 contain a critical Server-Side Template Injection (SSTI) vulnerability in FreeMarker email templates that allows authenticated administrators to execute arbitrary code remotely. Active exploits exist in the wild, and patches are available in version 1.11.4. Organizations using OpenMetadata for metadata management must upgrade immediately.
تؤثر هذه الثغرة الأمنية على منصة OpenMetadata الموحدة لإدارة البيانات الوصفية، حيث تسمح بحقن القوالب من جانب الخادم في قوالب البريد الإلكتروني المبنية على FreeMarker. يمكن للمهاجم الذي يمتلك صلاحيات إدارية استغلال هذه الثغرة لتنفيذ تعليمات برمجية عشوائية على الخادم المستضيف. تصنف الثغرة ضمن CWE-1336 وتحمل درجة خطورة عالية بمعدل CVSS 7.2. وجود استغلالات نشطة يزيد من خطورة التهديد ويتطلب إجراءات فورية للتخفيف من المخاطر وحماية البنية التحتية للبيانات.
تحتوي إصدارات OpenMetadata الأقدم من 1.11.4 على ثغرة حرجة في حقن القوالب من جانب الخادم (SSTI) في قوالب البريد الإلكتروني FreeMarker تسمح للمسؤولين المصادق عليهم بتنفيذ تعليمات برمجية تعسفية عن بُعد. توجد استغلالات نشطة في البرية، وتتوفر تصحيحات في الإصدار 1.11.4. يجب على المؤسسات التي تستخدم OpenMetadata لإدارة البيانات الوصفية الترقية فوراً.
1. Immediately upgrade OpenMetadata to version 1.11.4 or later to apply the security patch addressing the SSTI vulnerability in FreeMarker email templates.
2. Conduct a comprehensive security audit of all administrative accounts with access to email template configuration, review access logs for suspicious template modifications, and implement principle of least privilege for administrative functions.
3. Deploy Web Application Firewall (WAF) rules to detect and block template injection attempts, implement input validation for all user-supplied data in templates, and establish continuous monitoring for anomalous code execution patterns on OpenMetadata servers.
1. الترقية الفورية لمنصة OpenMetadata إلى الإصدار 1.11.4 أو أحدث لتطبيق التصحيح الأمني الذي يعالج ثغرة حقن القوالب من جانب الخادم في قوالب البريد الإلكتروني FreeMarker.
2. إجراء تدقيق أمني شامل لجميع الحسابات الإدارية التي لديها صلاحية الوصول إلى إعدادات قوالب البريد الإلكتروني، ومراجعة سجلات الوصول للكشف عن تعديلات مشبوهة في القوالب، وتطبيق مبدأ الصلاحيات الأقل امتيازاً للوظائف الإدارية.
3. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات حقن القوالب وحظرها، وتنفيذ التحقق من صحة المدخلات لجميع البيانات المقدمة من المستخدمين في القوالب، وإنشاء مراقبة مستمرة لأنماط تنفيذ التعليمات البرمجية الشاذة على خوادم OpenMetadata.