Apache Zeppelin Shell解释器 命令执行漏洞 (CVE-2024-31861)

漏洞类型 OS命令注入 发现时间 2024-04-11 漏洞等级 严重
MPS编号 MPS-dxnp-u5h3 CVE编号 CVE-2024-31861 漏洞影响广度

漏洞危害

OSCS 描述
Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。
Apache Zeppelin 中 sh 解释器类型的 notebook 可以直接执行 shell 命令。攻击者可以利用这一特性,创建 sh 解释器类型的 notebook,并执行任意恶意命令。
官方从0.11.1版本开始默认不包含 sh 解释器,解决该风险。
参考链接:https://www.oscs1024.com/hd/MPS-dxnp-u5h3

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
zeppelin [0.10.1, 0.11.1) 升级 将 zeppelin 升级至 0.11.1 及以上版本
缓解措施 禁止创建sh interpreter 类型的notebook
参考链接:https://www.oscs1024.com/hd/MPS-dxnp-u5h3

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-dxnp-u5h3

https://www.openwall.com/lists/oss-security/2024/04/10/8

https://github.com/apache/zeppelin/pull/4708

https://zeppelin.apache.org/docs/0.8.2/interpreter/shell.html

https://github.com/jongyoul/zeppelin/commit/30483de6130d797abb19ca9998580d5cf463279e

(0)
上一篇 2024年4月15日
下一篇 2024年4月16日

相关推荐

  • MyBatis Plus<=3.5.6 存在SQL注入漏洞 (CVE-2024-35548)

    漏洞类型 SQL注入 发现时间 2024-05-29 漏洞等级 高危 MPS编号 MPS-mg7u-bw9p CVE编号 CVE-2024-35548 漏洞影响广度 漏洞危害 OSCS 描述 MyBatis Plus 是 MyBatis 的增强工具,用于简化数据库开发,提高开发效率。 受影响版本中,由于 UpdateWrapper 类未对用户可控的参数进行过…

    漏洞 2024年5月30日
    0
  • Apache Arrow PyArrow 任意代码执行 (CVE-2023-47248)

    漏洞类型 反序列化 发现时间 2023-11-09 漏洞等级 高危 MPS编号 MPS-eck2-x5ys CVE编号 CVE-2023-47248 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Arrow是一个跨语言的开发平台,PyArrow是Apache Arrow的Python库,为Apache Arrow的C++实现提供了Python …

    2023年11月10日
    0
  • Adobe Acrobat Reader 代码执行漏洞 (CVE-2023-26369)

    漏洞类型 输入验证不恰当 发现时间 2023-09-13 漏洞等级 高危 MPS编号 MPS-2023-5421 CVE编号 CVE-2023-26369 漏洞影响广度 广 漏洞危害 OSCS 描述 Adobe Acrobat Reader 是用于打开和使用在 Adobe Acrobat 中创建的 Adobe PDF 的工具。 在Adobe Acrobat …

    2023年9月14日
    0
  • 普元 EOS Platform<=7.6 远程代码执行漏洞 (MPS-m0cs-ai27)

    漏洞类型 反序列化 发现时间 2024-04-24 漏洞等级 严重 MPS编号 MPS-m0cs-ai27 CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 Primeton EOS Platform 是普元信息开发的企业级应用集成平台。 Primeton EOS Platform 7.6 及之前版本中存在反序列化漏洞,未授权的攻击者可…

    漏洞 2024年4月25日
    0
  • Apache MINA SSHD SFTP路径穿越漏洞 (CVE-2023-35887)

    漏洞类型 路径遍历 发现时间 2023/7/7 漏洞等级 高危 MPS编号 MPS-4amk-710b CVE编号 CVE-2023-35887 漏洞影响广度 – 漏洞危害 OSCS 描述 Apache MINA SSHD 是一个为 Java 的应用程序提供 SSH 支持的 java 库。Apache MINA SSHD 在受影响的版本中,由于没…

    2023年8月30日
    0