Apache Geode：通过管理监控REST API的GET请求进行CSRF攻击可执行gfsh命令

漏洞详情

包名: maven - org.apache.geode:geode-web (Maven)

受影响版本: >= 1.10.0, < 1.15.2

已修复版本: 1.15.2

漏洞描述

Apache Geode 容易受到通过管理监控REST API的GET请求发起的CSRF攻击，攻击者诱骗用户交出Geode会话凭证后，可以在目标系统上以认证用户的身份提交恶意命令。

此漏洞影响Apache Geode版本1.10至1.15.1。

建议用户升级到版本1.15.2，该版本修复了此问题。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-47410
• https://lists.apache.org/thread/k88tv3rhl4ymsvt4h6qsv7sq10q5prrt
• apache/geode@5709909

安全评分

严重程度: 高危

CVSS总体评分: 8.8/10

CVSS v3基础指标:

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：需要
• 范围：未改变
• 机密性：高
• 完整性：高
• 可用性：高

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

弱点分类

弱点类型: CWE-352 - 跨站请求伪造(CSRF)

Web应用程序没有或无法充分验证是否由提交请求的用户有意提供了格式正确、有效、一致的请求。