一、 漏洞 CVE-2022-33891 基础信息
漏洞标题
Apache Spark shell命令注入漏洞通过Spark UI
来源:AIGC 神龙大模型
漏洞描述信息
通过Spark UI,Apache Spark壳命令注入漏洞
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Apache Spark shell command injection vulnerability via Spark UI
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Apache Spark UI offers the possibility to enable ACLs via the configuration option spark.acls.enable. With an authentication filter, this checks whether a user has access permissions to view or modify the application. If ACLs are enabled, a code path in HttpSecurityFilter can allow someone to perform impersonation by providing an arbitrary user name. A malicious user might then be able to reach a permission check function that will ultimately build a Unix shell command based on their input, and execute it. This will result in arbitrary shell command execution as the user Spark is currently running as. This affects Apache Spark versions 3.0.3 and earlier, versions 3.1.1 to 3.1.2, and versions 3.2.0 to 3.2.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Spark 操作系统操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Spark是美国阿帕奇(Apache)基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。 Apache Spark 存在操作系统命令注入漏洞,该漏洞源于Apache Spark UI中的 ACL 功能中的输入验证不正确。远程攻击者利用该漏洞可以请求特制 URL 并在目标系统上执行任意操作系统命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-33891 的公开POC
# POC 描述 源链接 神龙链接
1 cve-2022-33891-poc https://github.com/W01fh4cker/cve-2022-33891 POC详情
2 Apache Spark Shell Command Injection Vulnerability https://github.com/HuskyHacks/cve-2022-33891 POC详情
3 Apache Spark Command Injection PoC Exploit for CVE-2022-33891 https://github.com/west-wind/CVE-2022-33891 POC详情
4 None https://github.com/AkbarTrilaksana/cve-2022-33891 POC详情
5 Apache Spark RCE https://github.com/llraudseppll/cve-2022-33891 POC详情
6 「💥」CVE-2022-33891 - Apache Spark Command Injection https://github.com/AmoloHT/CVE-2022-33891 POC详情
7 CVE-2022-33891 Exploit For Apache Spark https://github.com/DrLinuxOfficial/CVE-2022-33891 POC详情
8 Apache Spark RCE - CVE-2022-33891 https://github.com/Vulnmachines/Apache-spark-CVE-2022-33891 POC详情
9 For CVE-2022-33891 Apache Spark: Emulation and Detection by West Shepherd https://github.com/ps-interactive/lab_security_apache_spark_emulation_detection POC详情
10 None https://github.com/IMHarman/CVE-2022-33891 POC详情
11 None https://github.com/elsvital/cve-2022-33891-fix POC详情
12 A PoC exploit for CVE-2022-33891 - Apache Spark UI Remote Code Execution (RCE) https://github.com/K3ysTr0K3R/CVE-2022-33891-EXPLOIT POC详情
13 PoC for CVE-2022-33891 https://github.com/nanaao/CVE-2022-33891 POC详情
14 None https://github.com/asepsaepdin/CVE-2022-33891 POC详情
三、漏洞 CVE-2022-33891 的情报信息