Apache Spark UI 命令注入漏洞(CVE-2022-33891)

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见:https://www.oscs1024.com/?src=wx

漏洞概述

7月18日,OSCS监测到Apache发布安全公告,修复了一个Apache Spark UI中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危。

Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

如果Apache Spark UI 通过配置选项Spark.acl.enable启用了 ACL的可能性。则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。

鉴于该漏洞危害较大且 POC 已公开,建议用户尽快自查修复。

漏洞评级:高危

影响项目:Apache Spark

影响版本:

org.apache.spark:spark-core_2.12@(∞, 3.1.3)

org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)

org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)

排查方式:获取spark版本,判断其版本是否在 (∞, 3.1.3)、[3.2.0, 3.2.2)、[3.2.0, 3.2.2)范围中

更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-19085

处置建议:

升级Apache Spark 到 3.1.3、3.2.2 或 3.3.0 或更高版本

参考链接:

https://www.oscs1024.com/hd/MPS-2022-19085

https://www.openwall.com/lists/oss-security/2022/07/17/1

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4351.html

(0)
上一篇 2023年1月5日 14:20
下一篇 2023年1月5日 14:23

相关推荐

  • 二月最新漏洞列表

    Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

    2023年2月6日
  • Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞

    漏洞发现时间 2022-03-24 漏洞验证时间 2022-03-25,已第一时间提交CNVD 标题 Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞 漏洞编号 MPS-2022-6799 发现方式 墨菲安全实验室情报预警监控 语言 java 影响组件及版本 org.springframework…

    漏洞分析 2023年1月4日
  • Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

    简述 6月4日,墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。 Atlassian Confluence是企业常用的wiki系统,攻击者无需认证可利用漏洞在Confluence Server 或 Confluence Data Center 系统中执行…

    2023年1月4日
  • Spring Cloud Gateway代码注入漏洞分析(CVE-2022-22947)

    漏洞简述 3月1日,VMware发布了针对Spring Cloud Gateway的漏洞通告(https://tanzu.vmware.com/security/cve-2022-22947),当actuator端点开启并对外暴露时,攻击者可以构造恶意请求实现远程任意代码执行。 Spring Cloud Gateway是Spring Cloud 生态中的AP…

    2023年1月4日
  • Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)

    漏洞简述 3月30日,GitLab 官方修复了CE/EE版本产品中硬编码密码导致的接管用户账户的安全问题。 由于使用 OmniAuth 注册的代码逻辑中存在硬编码密码,导致账号可被攻击者直接登录。该漏洞受影响版本为 14.7.0 ~ 14.7.6,14.8.0 ~ 14.8.4,14.9.0 ~ 14.9.1,均为较高版本,且该漏洞依赖于开启 OmniAut…

    2023年1月4日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741