【漏洞预警】Apache Linkis <1.6.0 JDBC DataSource任意文件读取漏洞CVE-2023-41916

文章预览

漏洞描述: Apache Linkis是面向大数据和人工智能应用的开源治理平台,受影响版本中,DataSource Manager模块对传入的JDBC URL和参数检查不足,攻击者可以通过构造恶意JDBC URL 进行任意文件读取,修复版本中,通过 SecurityUtils.getMysqlSecurityParams() 方法确保JDBC参数安全并且增加对相对路径的检查,以修复漏洞。 影响范围: org.apache.linkis:linkis-public-enhancements@(-∞, 1.6.0) linkis@(-∞, 1.6.0) 修复方案: 将组件org.apache.linkis:linkis-public-enhancements升级至1.6.0及以上版本 将组件linkis升级至1.6.0及以上版本 参考链接: https://github.com/apache/linkis/commit/43cb5b2e307d51a5194135b0295176bb3f3bdc1b ………………………………