漏洞描述
Apache Spark UI 可以设置选项 spark.acls.enable 启用 ACL,使用身份验证过滤器。用以检查用户是否具有查看或修改应用程序的访问权限。如果启用了 ACL则 HttpSecurityFilter中的代码路径可以允许用户通过提供任意用户名来执行命令。该功能最终将根据用户输入构建一个 Unix shell 命令并执行它,最终导致任意命令执行。
Apache Spark-未授权命令执行(CVE-2022-33891)
PoC代码
暂无相关漏洞推荐
- POC CVE-2018-8024: Apache Spark UI - Cross-Site Scripting
- POC CVE-2022-33891: Apache Spark UI - Remote Command Injection
- POC CVE-2022-33891: Apache Spark UI - Remote Command Injection
- POC CVE-2023-32007: Apache Spark远程代码执行漏洞
- POC CVE-2020-9480: Apache Spark - Authentication Bypass
- POC apachespark-ui-exposed: Apache Spark Application UI - Exposed
- Apache Spark shell doAs 命令注入漏洞
- Apache Spark shell doAs 命令注入漏洞
- Apache Spark-未授权命令执行