Apache Geode CSRF漏洞分析：通过GET请求执行远程命令

本文详细分析Apache Geode管理监控REST API中的CSRF漏洞，攻击者可通过GET请求执行gfsh命令，影响1.10至1.15.1版本，建议升级至1.15.2修复版本。

Apache Geode CSRF漏洞分析：通过GET请求执行远程命令

漏洞概述

Apache Geode存在跨站请求伪造（CSRF）漏洞，攻击者可通过向管理和监控REST API发送GET请求，在目标系统上执行gfsh命令。该漏洞影响Apache Geode 1.10至1.15.1版本。

技术细节

受影响版本

受影响版本：>= 1.10.0, < 1.15.2
已修复版本：1.15.2

漏洞机制

当攻击者诱骗用户泄露Geode会话凭证后，可利用此漏洞以认证用户的身份在目标系统上提交恶意命令。漏洞存在于管理和监控REST API的GET请求处理中，缺乏足够的CSRF保护机制。

严重程度

CVSS评分：8.8（高危）
攻击向量：网络
权限要求：无
用户交互：需要
影响范围：机密性、完整性和可用性均受到高度影响

解决方案

用户应升级到Apache Geode 1.15.2版本，该版本已修复此漏洞。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-47410
https://lists.apache.org/thread/k88tv3rhl4ymsvt4h6qsv7sq10q5prrt
apache/geode@5709909

弱点分类

CWE-352：跨站请求伪造（CSRF）
GHSA ID：GHSA-gjp8-99fv-cgcw

comments powered by Disqus