0757-86231086

新闻详情

Apache Spark Shell 命令注入漏洞 CVE-2022-33891
发布时间:2022-07-22

组件介绍

Apache Spark是一个开源集群运算框架,最初由加州大学柏克莱分校AMPLab开发。相对于Hadoop的MapReduce会在执行完工作后将中介资料存放到磁盘中,Spark使用了存储器内运算技术,能在资料尚未写入硬盘时即在存储器内分析运算。

漏洞描述

2022年7月19日,监测到一则Apache Spark组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-33891,漏洞威胁等级:高危。

该漏洞源于启用ACL时,HttpSecurityFilter中的代码路径可允许攻击者冒充任意用户。攻击者可利用该漏洞在未授权的情况下,根据用户输入创建一个Shell命令并执行,最终获取服务器最高权限。

影响范围

目前受影响的Apache Spark版本:

Apache Spark ≤ 3.0.3

3.1.1 ≤ Apache Spark ≤ 3.1.2

3.2.0 ≤ Apache Spark ≤3.2.1