漏洞通告 | Apache Spark UI命令漏洞；Grails远程代码漏洞；Confluence Questions漏洞

【漏洞通告】Apache Spark UI 命令注入漏洞

基础信息

CVE	CVE-2022-33891
等级	高危
类型	命令注入

漏洞详情

Apache Spark是美国阿帕奇（Apache）软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

如果Apache Spark UI启用了 ACL，则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能，根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。

影响范围

org.apache.spark:spark-core_2.12@(∞, 3.1.3)

org.apache.spark:spark-core_2.12@[3.2.0, 3.2.2)

org.apache.spark:spark-core_2.13@[3.2.0, 3.2.2)

安全建议

升级 org.apache.spark:spark-core_2.12 到 3.1.3、3.2.2 或 3.3.0 或更高版本

升级 org.apache.spark:spark-core_2.13 到 3.2.2 或 3.3.0 或更高版本

• 参考链接

https://www.openwall.com/lists/oss-security/2022/07/17/1

---

【漏洞通告】Grails 远程代码执行漏洞

基础信息

CVE	CVE-2022-35912
等级	高危
类型	代码执行

漏洞详情

Grails 框架支持data-binding，攻击者可构造恶意请求利用该机制获取到相关的 class loader，从而可执行任意代码控制服务器。

影响范围

Grails framework versions：

>= 3.3.10 & < 3.3.15

>= 4.0.0 & < 4.1.1

>= 5.0.0 & < 5.1.9

5.2.0

安全建议

升级至安全版本：5.2.1、5.1.9、4.1.1、3.3.15

参考链接

Grails Framework Remote Code Execution Vulnerability

---

【漏洞通告】Confluence Questions For Confluence 硬编码漏洞

基础信息

CVE	CVE-2022-26138
等级	高危
类型	硬编码

漏洞详情

2022年7月20日，Atlassian 官方披露了CVE-2022-26138 Questions for Confluence 应用程序存在硬编码漏洞。当 Confluence 启用了 Questions for Confluence 应用程序后，会自动新增一个硬编码的管理员账号密码。攻击者可利用该硬编码账户登录进入Confluence系统，执行相关敏感操作，造成数据泄漏等。

影响范围

Questions for Confluence 2.7.x（2.7.34、2.7.35）

Questions for Confluence 3.0.x（3.0.2）

安全建议

针对 Confluence 6.13.18 ～ 7.16.2 建议升级 Questions For Confluence 至2.7.38 及其以上版本。

针对 Confluence 7.16.3 及其之后版本 建议升级 Questions For Confluence 至 3.0.5 及其以上版本。

参考链接

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-07-20-1142446709.html