exploitDog

GHSA-43xg-8wmj-cw8h

Опубликовано: 01 нояб. 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Apache Spark vulnerable to Log Injection

A stored cross-site scripting (XSS) vulnerability in Apache Spark 3.2.1 and earlier, and 3.3.0, allows remote attackers to execute arbitrary JavaScript in the web browser of a user, by including a malicious payload into the logs which would be returned in logs rendered in the UI.

Ссылки

Пакеты

Наименование

pyspark

pip

Затронутые версииВерсия исправления

< 3.2.2

3.2.2

Наименование

pyspark

pip

Затронутые версииВерсия исправления

= 3.3.0

3.3.1

Наименование

org.apache.spark:spark-core_2.9.3

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

org.apache.spark:spark-core_2.13

maven

Затронутые версииВерсия исправления

< 3.2.2

3.2.2

Наименование

org.apache.spark:spark-core_2.13

maven

Затронутые версииВерсия исправления

= 3.3.0

3.3.1

Наименование

org.apache.spark:spark-core_2.12

maven

Затронутые версииВерсия исправления

< 3.2.2

3.2.2

Наименование

org.apache.spark:spark-core_2.12

maven

Затронутые версииВерсия исправления

= 3.3.0

3.3.1

Наименование

org.apache.spark:spark-core_2.11

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

org.apache.spark:spark-core_2.10

maven

Затронутые версииВерсия исправления

Отсутствует

EPSS

Процентиль: 32%

0.00126

Низкий

5.4 Medium

CVSS3

CVE ID

Дефекты

CWE-74

Связанные уязвимости

CVE-2022-31777

CVSS3: 5.4

redhat

больше 3 лет назад

A stored cross-site scripting (XSS) vulnerability in Apache Spark 3.2.1 and earlier, and 3.3.0, allows remote attackers to execute arbitrary JavaScript in the web browser of a user, by including a malicious payload into the logs which would be returned in logs rendered in the UI.

CVE-2022-31777

CVSS3: 5.4

nvd

больше 3 лет назад

A stored cross-site scripting (XSS) vulnerability in Apache Spark 3.2.1 and earlier, and 3.3.0, allows remote attackers to execute arbitrary JavaScript in the web browser of a user, by including a malicious payload into the logs which would be returned in logs rendered in the UI.

CVE-2022-31777

CVSS3: 5.4

debian

больше 3 лет назад

A stored cross-site scripting (XSS) vulnerability in Apache Spark 3.2. ...

EPSS

Процентиль: 32%

0.00126

Низкий

5.4 Medium

CVSS3

CVE ID

Дефекты

CWE-74