Apache Spark 漏洞列表

Shodan: title:"Spark Master at" Fofa: title="Spark Master at"

Apache Spark 3.4.0之前版本存在命令注入漏洞，该漏洞源于如果ACL启用后，HttpSecurityFilter中的代码路径可以允许通过提供任意用户名来执行模拟，这将导致任意shell命令执行。 Fofa: app="APACHE-Spark-Jobs" ZoomEye: app:"Apache Spark Jobs"

Apache Spark UI before 2.3.2 is vulnerable to XSS via unsanitized query string parameters in the /jobs/ endpoint.

Apache Spark UI is susceptible to remote command injection. ACLs can be enabled via the configuration option spark.acls.enable. With an authentication filter, this checks whether a user has access permissions to view or modify the application. If ACLs are enabled, a code path in HttpSecurityFilter can allow impersonation by providing an arbitrary user name. An attacker can potentially reach a permission check function that will ultimately build a Unix shell command based on input and execute it, resulting in arbitrary shell command execution. Affected versions are 3.0.3 and earlier, 3.1.1 to 3.1.2, and 3.2.0 to 3.2.1.

Apache Spark shell存在命令注入漏洞。该漏洞是由于启用ACL时，应用程序对请求数据验证不足导致的。

Apache Spark shell存在命令注入漏洞。该漏洞是由于启用ACL时，应用程序对请求数据验证不足导致的。

Apache Spark UI 可以设置选项 spark.acls.enable 启用 ACL，使用身份验证过滤器。用以检查用户是否具有查看或修改应用程序的访问权限。如果启用了 ACL则 HttpSecurityFilter中的代码路径可以允许用户通过提供任意用户名来执行命令。该功能最终将根据用户输入构建一个 Unix shell 命令并执行它，最终导致任意命令执行。

【漏洞对象】Apache Spark 【涉及版本】Apache Spark 【漏洞描述】 ApacheSpark是专为大规模数据处理而设计的快速通用的计算引擎，存在未经身份验证的命令执行，黑客可在服务器上执行任意命令，危害巨大。