Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidad de inyección de comandos en Apache Spark

19 Jul 2022

INTRODUCCIÓN

Se ha encontrado una nueva vulnerabilidad de inyección de comandos en la interfaz de usuario de Apache Spark (CVE-2022-33891).

ANÁLISIS

La interfaz de usuario de Apache Spark ofrece la posibilidad de habilitar ACLs a través de la opción de configuración spark.acls.enable. Con un filtro de autenticación, se comprueba si un usuario tiene permisos de acceso para ver o modificar la aplicación. Si las ACLs están habilitadas, una ruta de código en HttpSecurityFilter puede permitir que alguien realice una suplantación de identidad proporcionando un nombre de usuario arbitrario. Un usuario malicioso podría entonces ser capaz de llegar a una función de comprobación de permisos que finalmente construirá un comando de shell Unix basado en su entrada, y lo ejecutará. Esto dará lugar a la ejecución de un comando shell arbitrario.

Versiones afectadas:

  • <=3.0.3
  • 3.1.1 a 3.1.2
  • 3.2.0 a 3.2.1

RECOMENDACIONES

Los usuarios deben actualizar Apache Spark a la versión 3.1.3, 3.2.2 o 3.3.0 o posterior.

REFERENCIAS

https://securityonline.info/cve-2022-33891-apache-spark-shell-command-injection-vulnerability/
https://nvd.nist.gov/vuln/detail/CVE-2022-33891

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad de criticidad alta para VMware
Leer más →
Alertas
Vulnerabilidad crítica de Ejecución de Código Remota en Microsoft Exchange Server
Leer más →
Alertas
Desbordamiento de pila en VMWare Workstation, Fusion y ESXi (CVE-2021-22045)
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día