Apache Zeppelin CVE-2024-31861远程代码注入漏洞

admin 2024年4月17日14:25:00评论30 views字数 725阅读2分25秒阅读模式

 

产品简介

Apache Zeppelin是一种开源的Web笔记本类型交互式数据分析工具,它提供了基于浏览器的界面,允许数据工程师和科学家通过各种语言和工具,如Scala, Python, SQL, R,等等,交互式地进行数据分析、可视化以及分享。它通过解释器插件架构与不同的数据处理系统(如Apache Spark,Flink,Hive等等)进行集成,使用户能够轻松地使用和切换不同的数据处理引擎。

开发语言:Java官网地址:https://zeppelin.apache.org/

Apache Zeppelin CVE-2024-31861远程代码注入漏洞

空间测绘

回复“20240417”获取空间测绘语句

漏洞描述

Apache Zeppelin 中代码生成控制不当(“代码注入”)漏洞。攻击者可以使用Shell解释器作为代码生成入口,并以正常方式执行生成的代码。此问题影响 Apache Zeppelin:从 0.10.1 到 0.11.1。

影响版本

0.10.1Apache Zeppelin < 0.11.1

漏洞利用

1.访问漏洞环境。

Apache Zeppelin CVE-2024-31861远程代码注入漏洞

2.点击“Create new note”,选择“sh”,最后点击“Create”。

Apache Zeppelin CVE-2024-31861远程代码注入漏洞

3.点击刚刚新建的note,输入“whoami”命令。

Apache Zeppelin CVE-2024-31861远程代码注入漏洞

4.点击“▷”运行sh,并且命令执行结果输出如下:

Apache Zeppelin CVE-2024-31861远程代码注入漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-31861https://blog.csdn.net/qq_41904294/article/details/137789755https://avd.aliyun.com/detail?id=AVD-2024-31861

 

原文始发于微信公众号(不够安全):[漏洞复现] Apache Zeppelin CVE-2024-31861远程代码注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月17日14:25:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Zeppelin CVE-2024-31861远程代码注入漏洞https://cn-sec.com/archives/2666057.html

发表评论

匿名网友 填写信息