漏洞描述
YARN是hadoop系统上的资源统⼀管理平台,其主要作用是实现集群资源的统⼀管理和调度,可以把MapReduce计算框架作为⼀个应用程序运行在YARN系统之上。YARN提供了默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建,任务提交执行等操作,攻击者可通过未授权创建Application从而达到rce的效果。
Hadoop YARN REST API 未授权访问导致远程代码执行漏洞
PoC代码
暂无暂无