Описание
In Apache Linkis <=1.2.0 when used with the MySQL Connector/J, a deserialization vulnerability with possible remote code execution impact exists when an attacker has write access to a database and configures a JDBC EC with a MySQL data source and malicious parameters. Therefore, the parameters in the jdbc url should be blacklisted. Versions of Apache Linkis <= 1.2.0 will be affected, We recommend users to update to 1.3.0.
Ссылки
- Issue TrackingThird Party Advisory
- Issue TrackingThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.2.0 (включая)
cpe:2.3:a:apache:linkis:*:*:*:*:*:*:*:*
EPSS
Процентиль: 85%
0.02419
Низкий
8.8 High
CVSS3
Дефекты
CWE-502
CWE-502
Связанные уязвимости
CVSS3: 8.8
github
больше 3 лет назад
Apache Linkis subject to Remote Code Execution via deserialization
CVSS3: 8.8
fstec
больше 3 лет назад
Уязвимость программного средства соединения, управления и оркестрации приложений Apache Linkis, связана с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 85%
0.02419
Низкий
8.8 High
CVSS3
Дефекты
CWE-502
CWE-502