Apache Airflow是一个由社区创建的平台，用于以编程方式创作、安排和监控工作流程。Apache Spark是美国阿帕奇（Apache）基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。

Apache Airflow跨站脚本漏洞

Apache Airflow在2.4.2之前的版本中存在跨站脚本漏洞。该漏洞与受影响版本未正确过滤用户输入有关。“Trigger DAG with config”屏幕容易通过“origin”查询参数受到XSS攻击。攻击者可利用该漏洞对目标有针对性的发起攻击，危害站点系统安全。

CVE ID：CVE-2022-43982

危害级别：中

漏洞类型：通用型漏洞

影响产品：Apache Apache Airflow <2.4.2

漏洞解决方案：厂商已发布了漏洞修复程序，请及时关注更新:
https://lists.apache.org/thread/vqnvdrfsw9z7v7c46qh3psjgr7wy959l

参考：https://nvd.nist.gov/vuln/detail/CVE-2022-43982

Apache Spark注入漏洞

Apache Spark存在注入漏洞。攻击者利用该漏洞在用户的web浏览器中执行任意JavaScript代码。

CVE ID：CVE-2022-31777

危害级别：中

漏洞类型：通用型漏洞

影响产品：Apache Apache Spark <=3.2.1

                 Apache Apache Spark 3.3.0

漏洞解决方案：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.apache.org/thread/60mgbswq2lsmrxykfxpqq13ztkm2ht6q

参考：https://nvd.nist.gov/vuln/detail/CVE-2022-31777

Apache Tomcat环境问题漏洞

Apache Tomcat存在环境问题漏洞，该漏洞源于当rejectIllegalHeader设置为false时，Tomcat 可能存在请求走私问题（Request Smuggling）。目前没有详细的漏洞细节提供。

CVE ID：CVE-2022-42252

危害级别：高

漏洞类型：通用型漏洞

影响产品：

Apache Tomcat >=8.5.0，<=8.5.52
Apache Tomcat >=9.0.0，<9.0.68
Apache Tomcat >=10.0.0，<10.0.27
Apache Tomcat >=10.1.0，<10.1.1

漏洞解决方案：目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://tomcat.apache.org/security-8.html

参考：https://nvd.nist.gov/vuln/detail/CVE-2022-42252

点个关注：

声明：发布结果公告信息之前，我们决定声明力争保证每条公告的准确性和可靠性建议。同时，采纳和实施公告中的则完全由用户自己决定，可能出现的问题也完全由用户承担。采纳您的建议，您提出您的个人或企业的决策，您应考虑其或个人或您的企业的策略和流程。

原文始发于微信公众号（漏洞更新）：Apache 相关漏洞