一、 漏洞 CVE-2023-7148 基础信息
漏洞标题
ShifuML shifu Java 表达式语言 DataPurifier.java 代码注入
来源:AIGC 神龙大模型
漏洞描述信息
在ShifuML 0.12.0版本中发现了一个漏洞,并将其归类为关键。该漏洞影响到了组件Java表达式语言处理器src/main/java/ml/shifu/shifu/core/DataPurifier.java中的未知功能。对参数FilterExpression的操纵可能导致代码注入。攻击可以通过远程启动。攻击的复杂性相当高。利用这个漏洞似乎非常困难。这个漏洞已经被公开,可以用于利用。该漏洞的相关标识符是VDB-249151。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
ShifuML shifu Java Expression Language DataPurifier.java code injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability has been found in ShifuML shifu 0.12.0 and classified as critical. Affected by this vulnerability is an unknown functionality of the file src/main/java/ml/shifu/shifu/core/DataPurifier.java of the component Java Expression Language Handler. The manipulation of the argument FilterExpression leads to code injection. The attack can be launched remotely. The complexity of an attack is rather high. The exploitation appears to be difficult. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-249151.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Shifu 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Shifu是Shifu开源的一个构建在 Hadoop 之上的开源端到端机器学习和数据挖掘框架。 Shifu 0.12.0版本存在代码注入漏洞,该漏洞源于文件src/main/java/ml/shifu/shifu/core/DataPurifier.java的参数FilterExpression会导致代码注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-7148 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-7148 的情报信息