美创安全实验室监测到Apache Spark 组件存在命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞等级:高危。
Apache Spark UI 提供了通过配置选项 spark.acls.enable 启用 ACL 的可能性。如果启用了 ACL,则 HttpSecurityFilter 中的代码路径可以允许攻击者通过提供任意用户名来执行模拟。因此,攻击者能够访问权限检查功能,该功能最终将根据攻击者的输入构建一个 Unix shell 命令并执行。成功利用此漏洞可导致任意 shell 命令执行。
目前,Apache Spark官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
|
影响版本 |
安全版本 |
|
|
|
|
|
|
|
|
|
原文始发于微信公众号(第59号):【漏洞通告】Apache Spark 命令注入漏洞(CVE-2022-33891)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论