【漏洞通告】Apache Linkis权限提升漏洞（CVE-2024-27181）

文章预览

一、漏洞 概述 漏洞名称  Apache Linkis权限提升漏洞 CVE   ID CVE-2024-27181 漏洞类型 权限提升 发现时间 2024-08-02 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache Linkis是一个开源的计算中间件项目，它位于底层计算引擎（如Spark、Hive、Flink等）和上层应用工具之间，作为一个通用的“计算中间件”的中间层，提供了强大的连通、复用、编排、扩展和治理管控能力。 2024年8月2日，启明星辰集团VSRC监测到Apache Linkis中存在一个权限提升漏洞（CVE-2024-27181）。 Apache Linkis 1.5.0及之前版本在基础管理服务中存在权限提升漏洞，拥有受信用户账户的威胁者可能访问和获取Linkis 的Token信息（通常用于认证和授权），从而绕过正常的安全检查和限制，导致权限提升和执行未授权操作，如访问敏感数 ………………………………