漏洞标题
Apache Zeppelin:通过添加恶意JDBC连接字符串实现远程代码执行
漏洞描述信息
Apache Zeppelin中存在不当控制代码生成('代码注入')的漏洞。
攻击者通过JDBC驱动程序连接MySQL数据库时,可以注入敏感配置或恶意代码。
此问题影响Apache Zeppelin版本:0.11.1之前。
建议用户升级到版本0.11.1,以修复此问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
Apache Zeppelin: Remote code execution by adding malicious JDBC connection string
漏洞描述信息
Improper Control of Generation of Code ('Code Injection') vulnerability in Apache Zeppelin.
The attacker can inject sensitive configuration or malicious code when connecting MySQL database via JDBC driver.
This issue affects Apache Zeppelin: before 0.11.1.
Users are recommended to upgrade to version 0.11.1, which fixes the issue.
CVSS信息
N/A
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
Apache Zeppelin 代码注入漏洞
漏洞描述信息
Apache Zeppelin是美国阿帕奇(Apache)基金会的一款基于Web的开源笔记本应用程序。该程序支持交互式数据分析和协作文档。 Apache Zeppelin 0.11.0之前版本存在代码注入漏洞,该漏洞源于允许攻击者通过 JDBC 驱动程序连接 MySQL 数据库时注入敏感配置或恶意代码。
CVSS信息
N/A
漏洞类别
代码注入