【高危】Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272)
原文中文,约1400字,阅读约需4分钟。发表于:。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。攻击者可以通过构造参数?产品可以极低成本的和现有开发流程中的各种工具一键打通,包括...
Apache Airflow Spark Provider是Apache Airflow项目的插件,用于管理和调度Apache Spark作业。该插件存在任意文件读取漏洞,攻击者可以通过构造参数?allowLoadLocalInfile=true连接恶意mysql服务器,读取Airflow上的任意文件。受影响版本为apache-airflow-providers-apache-spark@(-∞, 4.1.3),修复方案是升级到4.1.3或更高版本。
