Apache Zeppelin 任意文件删除漏洞

最新推荐文章于 2023-04-19 11:43:48 发布
最新推荐文章于 2023-04-19 11:43:48 发布
阅读量220 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: apache 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/128388199
版权

漏洞描述

Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。

在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含…/的参数实现路径穿越,利用漏洞删除zeppelin相关或其他任意文件。

漏洞名称Apache Zeppelin 任意文件删除漏洞
漏洞类型输入验证不恰当
发现时间2022/12/17
漏洞影响广度一般
MPS编号MPS-2021-22347
CVE编号CVE-2021-28655
CNVD编号-

影响范围

org.apache.zeppelin:zeppelin-zengine@[0.5.0, 0.10.1]

修复方案

官方暂未发布新版本,补丁参考链接为:https://github.com/apache/zeppelin/pull/4282

参考链接

https://www.oscs1024.com/hd/MPS-2021-22347

https://nvd.nist.gov/vuln/detail/CVE-2021-28655

https://github.com/apache/zeppelin/pull/4282

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

在这里插入图片描述

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Zeppelin 未授权任意命令执行.md
04-12
Apache Zeppelin 未授权任意命令执行
Firefox 内存破坏漏洞
OSCS开源安全社区
08-25 268
在Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用此漏洞执行任意代码。升级Firefox到104、Firefox ESR到102.2、Firefox ESR到91.13 或更高版本。Firefox 是一款网络浏览器。
74CMS 3.0 任意文件删除漏洞
浅笑996的博客
12-08 586
一、 启动环境 1.双击运行桌面phpstudy.exe软件 2.点击启动按钮,启动服务器环境 二、代码审计 1.双击启动桌面Seay源代码审计系统软件 2.因为74CMS3.0源代码编辑使用GBK编辑,所以首先需要先将编码改成GBK 3.点击新建项目按钮,弹出对画框中选择(C:\phpStudy\WWW\74cms),点击确定 漏洞分析 1.点击展开左侧admin目录,在弹出的下拉列表中双...
漏洞复现-DiscuzX ≤3.4 任意文件删除漏洞
qq_59350385的博客
05-10 850
一、环境搭建 本次用的是vulhub靶场 执行下列命令部署 Discuz!X 安装环境 docker-compose up -d 安装时,只用修改数据库地址为`db`,其他保持默认即可: 二、漏洞复现 (1)访问`http://your-ip/robots.txt`可见robots.txt是存在的: (2)注册用户hahaha (3)在个人设置页面找到自己的formhash (4)带上自己的Cookie、formhash发送如下数据包 (5)查看个人设置页面的出生地
CLTPHP 5.8 后台任意文件删除漏洞
weixin_50464560的博客
09-16 854
CLTPHP 5.8 后台任意文件删除漏洞 一、漏洞简介 CLTPHP是基于ThinkPHP5开发,后台采用Layui框架的内容管理系统, 二、漏洞影响 CLTPHP 5.8及之前版本 三、复现过程 漏洞分析 app/admin/controller/Database.php 第221-248行: public function delSqlFiles() { $batchFlag = input('param.batchFlag', 0, 'intval'); //批量删除 if
任意文件读取及删除漏洞
qq_50854662的博客
09-27 2038
任意文件读取漏洞及危害 通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件,正常读取的文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件任意文件读取漏洞,是web安全里高危的漏洞,...
Apache Zeppelin 0.7.2 中文文档
12-01
Apache Zeppelin 0.7.2 中文文档 Apache Zeppelin 0.7.2 中文文档 Apache Zeppelin 0.7.2 中文文档
apache zeppelin使用文档
06-16
apache zeppelin使用文档
Apache Zeppelin Github Viewer-crx插件
04-01
安装该文件以按预期的方式在Github中查看Apache Zeppelin笔记本。 请在此处创建任何问题:https://github.com/rishabhbhardwaj/zeppelin-github-viewer/issues欢迎您为改善此问题做出贡献。 这是该项目的链接:...
zeppelin-cloudera:适用于Cloudera Manager的Apache Zeppelin包裹和CSD
05-18
适用于Cloudera的Apache Zeppelin包裹和CSD 此git存储库用于构建CDH的CSD和宗地。 Zeppelin将在Cloudera Manager中作为服务运行,并且其配置通过CM Web UI进行维护。 CSD只有python interpeter。 使用的是齐柏林...
【代码审计】任意文件删除漏洞实例
05-04 148
任意文件删除漏洞,该漏洞可让攻击者随意删除服务器上的任意文件。 环境搭建: CSCMS:http://www.chshcms.com/ 网站源码版本:Cscms_v4.1正式版(发布日期:2017-06-05) 程序源码下载:https://github.com/chshcms/cscms 漏洞实例一: 漏洞文件位置:\cscms\plugins\sys\...
PHP代码审计 ----- 任意文件读取 & 删除漏洞
qq_62344745的博客
04-19 784
通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件正常读取的文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件
Apache Hadoop YARN 远程代码执行漏洞
OSCS开源安全社区
08-26 913
Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理,使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。建议升级org.apache.hadoop:hadoop-yarn-server-resourcemanager到 2.10.2 或 3.2.4 或 3.3.4 或更高版本...
火狐浏览器内存泄漏
qq_34754747的博客
04-08 728
可使用Firemin帮助浏览器的内存释放
php任意文件删除漏洞,myblog/phpyun4.3任意文件删除漏洞.md at master · source-trace/myblog · GitHub...
weixin_32629285的博客
04-02 340
phpyun-expect.class.php任意文件漏洞信息公开时间: 2017/08影响版本: 4.3利用难度: 2挖掘难度: 2漏洞说明漏洞出现的原因是在于没有对数据进行很好的校验,可以直接插入其他文件的路径。同时在进行数据更新时,没有进行任何的检查,会直接删除对应路径。这样就导致了任意文件删除漏洞了。漏洞分析漏洞文件是phpyun/uploads/member/user/model/exp...
FireFox内存泄漏解决
timnity的博客
04-08 308
1. Open Firefox and go to the Address Bar. Type in about:config and then press Enter. 2. Right Click in the page and select New -> Boolean. 3. In the box that pops up enter config.trim_on_minimize....
解决Firefox及Firebug内存泄漏的问题
Java Tang
08-21 779
原文出处: http://www.javatang.com/archives/2010/08/21/0946448.html 作者: Jet Mah from Java堂 声明: 可以非商业性任意转载, 转载时请务必以超链接形式标明文章原始出处、作者信息及此声明!   Firebug现在基本是调试Javascript脚本必备的工具,但是由于Firefox运行...
vulhub漏洞复现-Hadoop YARN未授权访问
遇事不决冲冲冲
10-29 3843
Hadoop Hadoop就是存储海量数据和分析海量数据的工具。Hadoop到底是干什么用的? 思路 由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,攻击者可以通过 hdsf 提供的 restful api 对 hdfs 存储数据进行操作,如进行删除,下载,目录浏览甚至命令执行等,总体的操作思路是 在本地监听等待反弹 shell 连接 调用 New Application API 创建 Application 调用 Submit Application
java 模拟火狐firebug_解决Firefox及Firebug内存泄漏的问题
weixin_36204045的博客
02-16 98
Firebug现在基本是调试Javascript脚本必备的工具,但是由于Firefox运行机制的原因,通常在使用一段时间之后会发现Firefox变得非常慢,在任务管理器中也会发现firefox.exe进程占用了不小的内容。这里综合自己使用的情况强烈推荐三种方式,可以根据自己的喜好进行选择:1. 进行系统设置在地址栏中使用about:config打开FF的配置页面,右键添加一个属性:名称为confi...
apache zeppelin
最新发布
08-19
Apache Zeppelin是一个开源的数据分析和可视化工具,它提供了交互式数据分析的环境。Zeppelin的设计目标是通过提供一个灵活、易用的平台,使用户能够快速有效地分析和可视化大量的数据。 Zeppelin内置了多种功能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值