【漏洞通告】Apache Spark UI 命令注入漏洞
基础信息
| CVE |
CVE-2022-33891 |
| 等级 |
高危 |
| 类型 |
命令注入 |
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
如果Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。
影响范围
org.apache.spark:spark-core_2.12@(∞, 3.1.3)
org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)
org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)
安全建议
升级 org.apache.spark:spark-core_2.12 到 3.1.3、3.2.2 或 3.3.0 或更高版本
升级 org.apache.spark:spark-core_2.13 到 3.2.2 或 3.3.0 或更高版本
- 参考链接
【漏洞通告】Grails 远程代码执行漏洞 基础信息
| CVE |
CVE-2022-35912 |
| 等级 |
高危 |
| 类型 |
代码执行 |
Grails 框架支持data-binding,攻击者可构造恶意请求利用该机制获取到相关的 class loader,从而可执行任意代码控制服务器。
影响范围
Grails framework versions:
>= 3.3.10 & < 3.3.15
>= 4.0.0 & < 4.1.1
>= 5.0.0 & < 5.1.9
5.2.0
安全建议
升级至安全版本:5.2.1、5.1.9、4.1.1、3.3.15
参考链接
Grails Framework Remote Code Execution Vulnerability
【漏洞通告】Confluence Questions For Confluence 硬编码漏洞 基础信息
| CVE |
CVE-2022-26138 |
| 等级 |
【安全|漏洞通告 | Apache Spark UI命令漏洞;Grails远程代码漏洞;Confluence Questions漏洞】高危 |
| 类型 |
硬编码 |
2022年7月20日,Atlassian 官方披露了CVE-2022-26138 Questions for Confluence 应用程序存在硬编码漏洞。当 Confluence 启用了 Questions for Confluence 应用程序后,会自动新增一个硬编码的管理员账号密码。攻击者可利用该硬编码账户登录进入Confluence系统,执行相关敏感操作,造成数据泄漏等。
影响范围
Questions for Confluence 2.7.x(2.7.34、2.7.35)
Questions for Confluence 3.0.x(3.0.2)
安全建议
针对 Confluence 6.13.18 ~ 7.16.2 建议升级 Questions For Confluence 至2.7.38 及其以上版本。
针对 Confluence 7.16.3 及其之后版本 建议升级 Questions For Confluence 至 3.0.5 及其以上版本。
参考链接
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-07-20-1142446709.html
推荐阅读
- 漏洞复现|CVE-2022-33891 Apache Spark 命令注入复现
- Python学习笔记|【Python数据分析】数据探索+ 数据预处理
- Python数据分析与挖掘实战|【数据分析系列】Python数据预处理总结篇
- kubernetes|Kubernetes网络侃闲天
- 分布式|K8s入门到企业实战
- java|出现错误java:警告:源反行版 9,需要目标发行版1.9
- Netty学习系列|Netty学习七(编解码之自定义通信协议)
- Netty学习系列|Netty学习六(编解码之粘包和拆包)
- 大数据|滴滴开源了哪些有意思的项目()