BDU:2023-02232

Опубликовано: 10 апр. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость программного средства соединения, управления и оркестрации приложений Apache Linkis связана с отсутствием эффективной фильтрации параметров. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Linkis

Версия ПО

до 1.3.1 включительно (Linkis)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/o682wz1ggq491ybvjwokxvcdtnzo76ls

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-29215
CVE

EPSS

Процентиль: 89%

0.04807

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-29215

CVSS3: 9.8

nvd

почти 3 года назад

In Apache Linkis <=1.3.1, due to the lack of effective filtering of parameters, an attacker configuring malicious Mysql JDBC parameters in JDBC EengineConn Module will trigger a deserialization vulnerability and eventually lead to remote code execution. Therefore, the parameters in the Mysql JDBC URL should be blacklisted. Versions of Apache Linkis <= 1.3.0 will be affected. We recommend users upgrade the version of Linkis to version 1.3.2.

GHSA-qm2h-m799-86rc

CVSS3: 9.8

github

почти 3 года назад

Apache Linkis JDBC EngineConn has deserialization vulnerability

EPSS

Процентиль: 89%

0.04807

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2