【漏洞预警】Apache Linkis<1.6.0 JNDI 注入漏洞CVE-2023-49566

文章预览

漏洞描述: Apache Linkis是面向大数据和人工智能应用的开源治理平台,受影响版本中,由于DataSource Manager模块未对用户可控的DB2参数有效过滤,经过身份验证的攻击者可构造恶意的DB2参数进行JNDI注入攻击,在目标系统远程执行任意代码。 影响范围: org.apache.linkis:linkis-engineconn-plugins@(-∞, 1.6.0) linkis@(-∞, 1.6.0) 修复方案: 将组件org.apache.linkis:linkis-engineconn-plugins升级至1.6.0及以上版本 将组件linkis升级至1.6.0及以上版本 参考链接: https://github.com/apache/linkis/commit/43cb5b2e307d51a5194135b0295176bb3f3bdc1b ………………………………