漏洞描述
Apache Spark UI 可以设置选项 spark.acls.enable 启用 ACL,使用身份验证过滤器。用以检查用户是否具有查看或修改应用程序的访问权限。如果启用了 ACL则 HttpSecurityFilter中的代码路径可以允许用户通过提供任意用户名来执行命令。该功能最终将根据用户输入构建一个 Unix shell 命令并执行它,最终导致任意命令执行。
Apache Spark-未授权命令执行(CVE-2022-33891)
PoC代码
暂无相关漏洞推荐
-
CVE-2022-33891: Apache Spark UI - Remote Command Injection POC
2025-09-01 | Apache Spark UIShodan: title:"Spark Master at" Fofa: title="Spark Master at" -
CVE-2023-32007: Apache Spark远程代码执行漏洞 POC
2025-09-01 | Apache SparkApache Spark 3.4.0之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityFilter中的代码路径可以允许通过提供任意用户名来执行模拟,这将导致任意shell命... -
CVE-2018-8024: Apache Spark UI - Cross-Site Scripting POC
2025-08-01 | Apache Spark UIApache Spark UI before 2.3.2 is vulnerable to XSS via unsanitized query string parameters in the /jo... -
Webmin /package-updates/update.cgi 命令执行漏洞(CVE-2022-36446) 无POC
2025-09-05 | WebminWebmin是Webmin社区的一套基于Web的用于类Unix操作系统中的系统管理工具。 Webmin 1.997之前的版本存在安全漏洞,该漏洞源于其software/apt-lib.pl组件缺少对U... -
CVE-2022-0342: Zyxel authentication bypass patch analysis POC
2025-09-01 | ZyxelAn authentication bypass vulnerability in the CGI program of Zyxel USG/ZyWALL series firmware versio...