Vulnerabilidad en OpenMetadata (CVE-2024-28253)

OpenMetadata es una plataforma unificada para el descubrimiento, la observabilidad y la gobernanza impulsada por un repositorio central de metadatos, un linaje profundo y una colaboración fluida en equipo. `CompiledRule::validateExpression` también se llama desde `PolicyRepository.prepare`. `prepare()` se llama desde `EntityRepository.prepareInternal()` que, a su vez, se llama desde `EntityResource.createOrUpdate()`. Tenga en cuenta que aunque hay una verificación de autorización (`authorizer.authorize()`), se llama después de que se llama a `prepareInternal()` y, por lo tanto, después de que se haya evaluado la expresión SpEL. Para llegar a este método, un atacante puede enviar una solicitud PUT a `/api/v1/policies` que es manejada por `PolicyResource.createOrUpdate()`. Esta vulnerabilidad se descubrió con la ayuda de la consulta de inyección de lenguaje de expresión (Spring) de CodeQL y también se rastrea como "GHSL-2023-252". Este problema puede provocar la ejecución remota de código y se solucionó en la versión 1.3.1. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.