漏洞概述
2021年1月5日,Apache官网通报了Apache Flink目录遍历漏洞,可通过REST API读/写远程文件。
CVE-2020-17518:构造恶意http header,可实现远程文件写入。Flink1.5.1引入了一个REST处理程序,允许您编写文件到本地文件系统上的任意位置。
CVE-2020-17519:通过REST API使用../跳目录实现系统任意文件读取。Apache Flink 1.11.0-1.11.2中引入的一项更改,允许攻击者通过JobManager进程的REST接口读取本地文件系统上的任何文件,访问仅限于JobManager进程可访问的文件。