产品简介
Apache Zeppelin是一种开源的Web笔记本类型交互式数据分析工具,它提供了基于浏览器的界面,允许数据工程师和科学家通过各种语言和工具,如Scala, Python, SQL, R,等等,交互式地进行数据分析、可视化以及分享。它通过解释器插件架构与不同的数据处理系统(如Apache Spark,Flink,Hive等等)进行集成,使用户能够轻松地使用和切换不同的数据处理引擎。
开发语言:Java官网地址:https://zeppelin.apache.org/
空间测绘
回复“20240417”获取空间测绘语句漏洞描述
Apache Zeppelin 中代码生成控制不当(“代码注入”)漏洞。攻击者可以使用Shell解释器作为代码生成入口,并以正常方式执行生成的代码。此问题影响 Apache Zeppelin:从 0.10.1 到 0.11.1。
影响版本
0.10.1 ≤ Apache Zeppelin < 0.11.1漏洞利用
1.访问漏洞环境。
2.点击“Create new note”,选择“sh”,最后点击“Create”。
3.点击刚刚新建的note,输入“whoami”命令。
4.点击“▷”运行sh,并且命令执行结果输出如下:
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2024-31861https://blog.csdn.net/qq_41904294/article/details/137789755https://avd.aliyun.com/detail?id=AVD-2024-31861
原文始发于微信公众号(不够安全):[漏洞复现] Apache Zeppelin CVE-2024-31861远程代码注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论