【漏洞预警】Apache Airflow Hive Provider Beeline 远程代码执行漏洞

2023年7月5日08:17:15评论40 views字数 697阅读2分19秒阅读模式

漏洞描述：

Airflow Hive Provider 是Apache Airflow与Apache Hive集成的插件。Beeline 是Hive客户端与服务器进行交互的命令行工具。
Airflow Apache Hive Provider 6.1.1之前版本中由于 hive#_prepare_cli_cmd 方法未对用户参数正确过滤，具有修改 Hive 连接参数权限的攻击者可将包含分号(';')的恶意负载注入到 extra_dejson 参数的 principal 值中，从而在Hive服务器远程执行任意命令。

影响范围：
apache-airflow-providers-apache-hive [1.0.0, 6.1.1)

修复方案：
升级apache-airflow-providers-apache-hive到 6.1.1 或更高版本
官方已发布漏洞补丁：https://github.com/apache/airflow/commit/fc7bb05289c9949fcee5e9168e4467e95cdf2c87

参考链接：
https://github.com/apache/airflow/commit/fc7bb05289c9949fcee5e9168e4467e95cdf2c87
https://github.com/apache/airflow/pull/31983
https://lists.apache.org/thread/30y19ok07fw52x5hnkbhwqo3ho0wwc1y

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache Airflow Hive Provider Beeline 远程代码执行漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】Apache Airflow Hive Provider Beeline 远程代码执行漏洞

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞

漏洞预警 | JeecgBoot任意文件上传漏洞

漏洞预警 | 若依druid未授权访问漏洞

发表评论

在线咨询

微信