CVE-2023-41916

Опубликовано: 15 июл. 2024

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

In Apache Linkis =1.4.0, due to the lack of effective filtering of parameters, an attacker configuring malicious Mysql JDBC parameters in the DataSource Manager Module will trigger arbitrary file reading. Therefore, the parameters in the Mysql JDBC URL should be blacklisted. This attack requires the attacker to obtain an authorized account from Linkis before it can be carried out. Versions of Apache Linkis = 1.4.0 will be affected. We recommend users upgrade the version of Linkis to version 1.5.0.

Ссылки

https://lists.apache.org/thread/dxkpwyoxy1jpdwlpqp15zvo0jxn4v729
Mailing List
Vendor Advisory
http://www.openwall.com/lists/oss-security/2024/07/13/4
https://lists.apache.org/thread/dxkpwyoxy1jpdwlpqp15zvo0jxn4v729
Mailing List
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:linkis:*:*:*:*:*:*:*:*

Версия от 1.4.0 (включая) до 1.6.0 (исключая)

EPSS

Процентиль: 46%

0.00232

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-552

Связанные уязвимости

GHSA-f22j-9j59-33j4

CVSS3: 6.5

github

больше 1 года назад

Apache Linkis DataSource allows arbitrary file reading

BDU:2024-05289

CVSS3: 6.5

fstec

больше 1 года назад

Уязвимость модуля управления базами данных программного средства соединения, управления и оркестрации приложений Apache Linkis, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 46%

0.00232

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-552