文章预览
一、漏洞 概述 漏洞名称 Apache Linkis权限提升漏洞 CVE ID CVE-2024-27181 漏洞类型 权限提升 发现时间 2024-08-02 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache Linkis是一个开源的计算中间件项目,它位于底层计算引擎(如Spark、Hive、Flink等)和上层应用工具之间,作为一个通用的“计算中间件”的中间层,提供了强大的连通、复用、编排、扩展和治理管控能力。 2024年8月2日,启明星辰集团VSRC监测到Apache Linkis中存在一个权限提升漏洞(CVE-2024-27181)。 Apache Linkis 1.5.0及之前版本在基础管理服务中存在权限提升漏洞,拥有受信用户账户的威胁者可能访问和获取Linkis 的Token信息(通常用于认证和授权),从而绕过正常的安全检查和限制,导致权限提升和执行未授权操作,如访问敏感数
………………………………
