漏洞标题
Apache Zeppelin:解释器下载命令未逃逸恶意代码注入
漏洞描述信息
Apache Zeppelin中的输出编码或转义不当漏洞。
攻击者可以通过覆盖如ZEPPELIN_INTP_CLASSPATH_OVERRIDES之类的配置来执行shell脚本或恶意代码。
此问题影响Apache Zeppelin的版本:0.8.2到0.11.1之前。
建议用户升级到版本0.11.1,以修复此问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
漏洞标题
Apache Zeppelin: Interpreter download command does not escape malicious code injection
漏洞描述信息
Improper Encoding or Escaping of Output vulnerability in Apache Zeppelin.
The attackers can execute shell scripts or malicious code by overriding configuration like ZEPPELIN_INTP_CLASSPATH_OVERRIDES.
This issue affects Apache Zeppelin: from 0.8.2 before 0.11.1.
Users are recommended to upgrade to version 0.11.1, which fixes the issue.
CVSS信息
N/A
漏洞类别
对输出编码和转义不恰当
漏洞标题
Apache Zeppelin 安全漏洞
漏洞描述信息
Apache Zeppelin是美国阿帕奇(Apache)基金会的一款基于Web的开源笔记本应用程序。该程序支持交互式数据分析和协作文档。 Apache Zeppelin 0.8.2 到 0.11.1版本存在安全漏洞,该漏洞源于编码或转义不当,允许攻击者通过覆盖 ZEPPELIN_INTP_CLASSPATH_OVERRIDES 等配置来执行 shell 脚本或恶意代码。
CVSS信息
N/A
漏洞类别
其他