Apache Zeppelin shell 代码注入漏洞复现(CVE-2024-31861)

最新推荐文章于 2024-05-21 15:14:01 发布
最新推荐文章于 2024-05-21 15:14:01 发布
阅读量360 收藏 1
点赞数 6
分类专栏: 漏洞复现 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50797689/article/details/137639011
版权
漏洞复现 专栏收录该内容
33 篇文章 65 订阅 ¥9.90 ¥99.00
订阅专栏

免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为承担任何责任,一旦造成后果请自行承担!

一、产品介绍

Apache Zeppelin是一个开源的数据分析和可视化工具,它提供了一个交互式的笔记本界面,用户可以在其中编写和运行数据分析代码,并实时查看结果。

二、漏洞描述

在Apache Zeppelin 0.10.1 <= Apache Zeppelin < 0.11.1 中存在一个shell 代码注入漏洞,攻击者可利用Zeppelin 中的shell功能执行任意命令,升级后官方默认禁止shell interpreter。

三、漏洞危害

攻击者可利用Zeppelin 中的shell功能执行任意命令。

四、漏洞复现

环境搭建:

使用docker语句

docker run -d --name zeppelin -p 8888:8080 apache/zeppelin:0.10.1

访问http://127.0.0.1:8888

了解本专栏 订阅专栏 解锁全文
0xOctober
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Apache Zeppelin 命令执行漏洞复现CVE-2024-31861
0xSec
04-15 1095
Apache Zeppelin代码生成控制不当(“代码注入”)漏洞。攻击者可以使用 Shell解释器作为代码生成网关,系统org.apache.zeppelin.shell.ShellInterpreter类直接调用/sh来执行命令,没有进行过滤,导致RCE漏洞
zeppelin-cloudera:适用于Cloudera Manager的Apache Zeppelin包裹和CSD
05-18
适用于Cloudera的Apache Zeppelin包裹和CSD 此git存储库用于构建CDH的CSD和宗地。 Zeppelin将在Cloudera Manager中作为服务运行,并且其配置通过CM Web UI进行维护。 CSD只有python interpeter。 使用的是齐柏林...
Apache Tomcat 存在 JsonErrorReportValve 注入漏洞CVE-2022-45143)
murphysec的博客
01-05 6068
Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含…/的参数实现路径穿越,利用漏洞删除zeppelin相关或其他任意文件。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。
【高危】Apache Spark UI shell 命令注入漏洞(POC)
murphysec的博客
05-16 884
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。该漏洞是针对此前CVE-2022-33891漏洞的修订,原有漏洞通告中认为3.1.3版本已修复该漏洞,后发现仍受到影响,3.1.3版本已不再维护,官方建议升级至3.4.0版本。该漏洞已存在 POC。
Apache Zeppelin 任意文件删除漏洞
OSCS开源安全社区
12-20 219
Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含…OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。官方暂未发布新版本,补丁参考链接为:https://github.com/apache/zeppelin/pull/4282。
Apache Zeppelin Github Viewer-crx插件
04-01
请在此处创建任何问题:https://github.com/rishabhbhardwaj/zeppelin-github-viewer/issues欢迎您为改善此问题做出贡献。 这是该项目的链接:https://github.com/rishabhbhardwaj/zeppelin-github-viewer
zeppelin-iotdb-0.13.0-jar-with-dependencies.jar
06-15
iotdb 0.13 zeppelin 解释器
汞:汞-使用Javascript(例如apache zeppelin和jupyter)可视化和发现数据
02-05
汞 什么是水银? const axios = await npmModule ( 'axios' ) const response = axios ....const remoteData = response ....RENDER ( content ) 水星是注释系统,如 , 。... 水星可以通过JavaScript可视化数据 ...
zeppelin-R:Apache Zeppelin R解释器
05-23
Apache Zeppelin R解释器 这是代码的插入物。 它支持横截面变量和R图(ggplot2 ...)。 由于使用了库的GPL2许可,因此该软件未在ASL2下发行()。 先决条件 您需要在运行笔记本计算机的主机上使用R(带有Rserve和...
apache BeanUtils
w_t_y_y的博客
05-20 51
一、populate
在Linux中通过ansible自动化部署apache服务
mengmeng_921的博客
05-21 645
周六:网络CCNA+HCIA=线上直播/线下面授——同步上课周日:网络CCNP+HCIP=线上直播/线下面授——同步上课周六:系统 RHCE=线上直播/线下面授——同步上课周日:系统 RHCA=线上直播/线下面授——同步上课。
Angular前端项目在Apache httpd服务器上的部署
hhujjj2005的博客
05-14 334
Tomcat是一个Java Servlet容器,用于运行Java Servlet和JavaServer Pages(JSP),而Apache HTTP服务器是一个通用的Web服务器,用于提供静态和动态内容。yum安装,安装简单,最新版本,本文用的yum安装。源代码安装,可以安装任何版本,配置灵活性比较高,但是安装麻烦。
Apache Doris 2.0.10 版本正式发布
SelectDB
05-17 395
亲爱的社区小伙伴们,版本已于 2024 年 5 月 15 日正式与大家见面,该版本提交了 83 个改进项以及问题修复,进一步提升了系统的性能及稳定性,欢迎大家下载体验。
SpringBoot和Apache Doris实现实时广告推荐系统
qq_30895747的博客
05-21 127
基于SpringBoot的实时广告推送系统
基于TC72(SPI接口)温度传感器、STM32F103C8T6、LCD1602、FREERTOS的温度采集proteus仿真
05-21
spi
ehcache-core-2.6.9.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
netty-transport-native-unix-common-4.1.51.Final.jar
05-21
javaEE javaweb常用jar包 , 亲测可用,下载后导入到java工程中使用。
node-v6.14.4-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
apache zeppelin
08-19
Zeppelin内置了多种功能强大的解释器,包括支持SQL查询的Apache Spark、支持编写Python和R代码的解释器等。用户可以通过这些解释器在Zeppelin中进行数据的查询、分析和可视化操作。 Zeppelin提供了丰富的可视化工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xOctober

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值