【高危】Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272)
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Apache Airflow Spark Provider是Apache Airflow项目的插件,用于管理和调度Apache Spark作业。该插件存在任意文件读取漏洞,攻击者可以通过构造参数?allowLoadLocalInfile=true连接恶意mysql服务器,读取Airflow上的任意文件。受影响版本为apache-airflow-providers-apache-spark@(-∞, 4.1.3),修复方案是升级到4.1.3或更高版本。
🎯
关键要点
- Apache Airflow Spark Provider是Apache Airflow项目的插件,用于管理和调度Apache Spark作业。
- 存在任意文件读取漏洞,攻击者可通过构造参数连接恶意mysql服务器,读取Airflow上的任意文件。
- 漏洞名称为Apache Airflow Spark Provider任意文件读取漏洞,漏洞类型为输入验证不恰当,发现时间为2023年8月17日。
- 受影响版本为apache-airflow-providers-apache-spark@(-∞, 4.1.3)。
- 修复方案是将组件升级到4.1.3或更高版本。
- 墨菲安全是一家提供软件供应链安全管理的科技公司,提供完整的软件供应链安全管理平台。
➡️
