网站首页 > 博客文章 正文
近日,Apache官方发布Apache Flink任意文件上传(CVE-2020-17518)和任意文件读取(CVE-2020-17519)两个高危漏洞。利用上述漏洞,攻击者可进行目录穿越,读取任意文件或将文件上传至任意位置。
网络安全
01
漏洞情况
Apache Flink是由Apache软件基金会开发的开源流处理框架,核心是用Java和Scala编写的分布式流数据流引擎。在Apache Flink中,因存在文件上传API未对文件名进行过滤,恶意攻击者可通过JobManager调用REST API读取系统中任意文件。此外,恶意攻击者还可通过调用REST接口修改HTTP HEADER来进行任意文件上传。
02
影响范围
任意文件上传漏洞(CVE-2020-17518):1.5.1 - 1.11.2;
任意文件读取漏洞(CVE-2020-17519):1.11.0, 1.11.1, 1.11.2。
03
处置建议
Apache官方已发布修复链接修复此漏洞。请广大用户立即将Flink升级至1.11.3或1.12.0版本进行漏洞修复。
附件:参考链接:
https://flink.apache.org/downloads.html
猜你喜欢
- 2025-03-17 seatunnel 安装体验-基于 docker 提供 flink 环境
- 2025-03-17 Apache Flink中DataStream基本转换
- 2025-03-17 Apache Flink 1.10 细粒度资源管理解析
- 2025-03-17 火山引擎基于 Zeppelin 的 Flink/Spark 云原生实践
- 2025-03-17 Apache Flink攻击面探索(apache是什么意思)
- 2025-03-17 探究Apache Flink支持的三种流处理场景
- 2025-03-17 实时AI应用:使用APACHE FLINK进行模型推理
- 2025-03-17 Apache Flink 进阶教程(七):网络流控及反压剖析
- 2025-03-17 Apache Flink的应用场景和使用案例
- 2025-03-17 Apache ORC深度探索(上篇)(深度探索科技有限公司)
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- ifneq (61)
- 字符串长度在线 (61)
- googlecloud (64)
- messagesource (56)
- promise.race (63)
- 2019cad序列号和密钥激活码 (62)
- window.performance (66)
- qt删除文件夹 (72)
- mysqlcaching_sha2_password (64)
- ubuntu升级gcc (58)
- nacos启动失败 (64)
- ssh-add (70)
- jwt漏洞 (58)
- macos14下载 (58)
- yarnnode (62)
- abstractqueuedsynchronizer (64)
- source~/.bashrc没有那个文件或目录 (65)
- springboot整合activiti工作流 (70)
- jmeter插件下载 (61)
- 抓包分析 (60)
- idea创建mavenweb项目 (65)
- vue回到顶部 (57)
- qcombobox样式表 (68)
- tomcatundertow (58)
- pastemac (61)
本文暂时没有评论,来添加一个吧(●'◡'●)