漏洞描述:
Apache InLong 是可用于构建基于流式的数据分析、建模等一站式的海量数据集成框架。
在Apache Inlong受影响版本,由于未对接收的jdbcUrl参数过滤空格字符,导致可以利用空格绕过jdbcUrl中autoDeserialize参数过滤限制,通过认证的攻击者利用可控的jdbcUrl参数内容在MySQL 服务端触发反序列化造成任意代码执行。
影响范围:
org.apache.inlong:manager-pojo[1.4.0, 1.7.0)
修复方案:
将组件 org.apache.inlong:manager-pojo 升级至 1.7.0 及以上版本
参考链接:
https://github.com/apache/inlong/pull/7674
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Inlong 存在JDBC反序列化漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论