Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09901

Опубликовано: 05 янв. 2021
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Критический

Описание

Уязвимость компонента REST Interface платформы для обработки потоковых и пакетных данных Apache Flink связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать произвольные файлы

Вендор

Apache Software Foundation

Наименование ПО

Flink

Версия ПО

до 1.11.3 (Flink)
до 1.12.0 (Flink)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.openwall.com/lists/oss-security/2021/01/05/2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94383
Критический

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2020-17519

CVSS3: 7.5
redhat
около 5 лет назад

A change introduced in Apache Flink 1.11.0 (and released in 1.11.1 and 1.11.2 as well) allows attackers to read any file on the local filesystem of the JobManager through the REST interface of the JobManager process. Access is restricted to files accessible by the JobManager process. All users should upgrade to Flink 1.11.3 or 1.12.0 if their Flink instance(s) are exposed. The issue was fixed in commit b561010b0ee741543c3953306037f00d7a9f0801 from apache/flink:master.

nvd логотип

CVE-2020-17519

CVSS3: 7.5
nvd
около 5 лет назад

A change introduced in Apache Flink 1.11.0 (and released in 1.11.1 and 1.11.2 as well) allows attackers to read any file on the local filesystem of the JobManager through the REST interface of the JobManager process. Access is restricted to files accessible by the JobManager process. All users should upgrade to Flink 1.11.3 or 1.12.0 if their Flink instance(s) are exposed. The issue was fixed in commit b561010b0ee741543c3953306037f00d7a9f0801 from apache/flink:master.

github логотип

GHSA-395w-qhqr-9fr6

CVSS3: 7.5
github
около 5 лет назад

Path Traversal in Apache Flink

EPSS

Процентиль: 100%
0.94383
Критический

9.1 Critical

CVSS3

9.4 Critical

CVSS2