专栏名称: 飓风网络安全
专注网络安全,成立于2016年;专注于研究安全服务,黑客技术、0day漏洞、提供服务器网站安全解决方案,数据库安全、服务器安全运维。
今天看啥  ›  专栏  ›  飓风网络安全

【漏洞预警】Apache Linkis <1.6.0 JDBC DataSource任意文件读取漏洞CVE-2023-41916

飓风网络安全  · 公众号  ·  · 2024-07-15 17:04

文章预览

漏洞描述: Apache Linkis是面向大数据和人工智能应用的开源治理平台,受影响版本中,DataSource Manager模块对传入的JDBC URL和参数检查不足,攻击者可以通过构造恶意JDBC URL 进行任意文件读取,修复版本中,通过 SecurityUtils.getMysqlSecurityParams() 方法确保JDBC参数安全并且增加对相对路径的检查,以修复漏洞。 影响范围: org.apache.linkis:linkis-public-enhancements@(-∞, 1.6.0) linkis@(-∞, 1.6.0) 修复方案: 将组件org.apache.linkis:linkis-public-enhancements升级至1.6.0及以上版本 将组件linkis升级至1.6.0及以上版本 参考链接: https://github.com/apache/linkis/commit/43cb5b2e307d51a5194135b0295176bb3f3bdc1b ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览