漏洞标题
N/A
漏洞描述信息
在Apache Spark 2.2.0之前,攻击者有可能利用用户对服务器的信任,使其访问一个链接,该链接指向一个共享的Spark集群,并将包括MHTML的数据提交到Spark master或历史服务器。这些数据将返回给用户,并可以被MS Windowsbased客户端进行验证和执行。这并不是对Spark本身的攻击,而是对用户的攻击,因为在查看SparkWebUIs的元素时,用户可能会无意中执行脚本。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In Apache Spark before 2.2.0, it is possible for an attacker to take advantage of a user's trust in the server to trick them into visiting a link that points to a shared Spark cluster and submits data including MHTML to the Spark master, or history server. This data, which could contain a script, would then be reflected back to the user and could be evaluated and executed by MS Windows-based clients. It is not an attack on Spark itself, but on the user, who may then execute the script inadvertently when viewing elements of the Spark web UIs.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Spark 安全漏洞
漏洞描述信息
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。 Apache Spark 2.2.0之前的版本中存在安全漏洞。攻击者可通过诱使用户访问特制的链接利用该漏洞注入脚本。
CVSS信息
N/A
漏洞类别
跨站脚本