Apache Flink jobmanager 目录遍历漏洞

最新推荐文章于 2024-07-08 08:18:08 发布
最新推荐文章于 2024-07-08 08:18:08 发布
阅读量552 收藏
点赞数
分类专栏: 漏洞复现 文章标签: apache flink java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46801402/article/details/127629830
版权

漏洞描述:

2021年01月06日,360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞 远程攻击者通过REST API目录遍历,可造成文件读取/写入的影响。

漏洞利用条件:

REST API目录没有认可认证的情况下暴露配置信息

漏洞影响范围:

Apache Flink 1.11.0

Apache Flink 1.11.1

Apache Flink 1.11.2

漏洞复现:

1.验证poc:/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

修复建议:

将Flink版本升级至1.11.3或1.12.0版本。

学习记录,仅供参考!!!

想要暴富的小林子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache目录遍历漏洞
willow_liang的博客
10-21 2089
实验环境: win2003+phpstudy2014 1.目录遍历目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一-种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。程序在实现.上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。 1 漏洞复现 漏洞原理: 2 漏洞修复: ` Options -Index
apache目录遍历漏洞利用_Apache Flink目录遍历漏洞(CVE202017518/CVE202017519)
weixin_28419039的博客
01-09 278
漏洞概述2021年1月5日,Apache官网通报了Apache Flink目录遍历漏洞,可通过REST API读/写远程文件。CVE-2020-17518:构造恶意http header,可实现远程文件写入。Flink1.5.1引入了一个REST处理程序,允许您编写文件到本地文件系统上的任意位置。CVE-2020-17519:通过REST API使用../跳目录实现系统任意文件读取。Ap...
apache flink目录遍历漏洞(CVE-2020-17518复现)
ANYOUZHEN的博客
06-04 1307
漏洞描述:apache Flink目录遍历漏洞,可通过REST API读/写远程文件影响版本:Flink 1.5.1-1.11.2接下来开始复现:我们通过vulhub进行复现打开vulhub上的flink里的cve-2020-17518使用docker-compose配置相关环境:(在靶场cve-2020-17518使用下面的指令) 然后输入kali密码即可成功启动环境接下来我们查看当前环境:在靶场终端输入: 但是在我的kali2022上面出现了报错:8行,和上一篇文章出现了一样的问题,上网搜
Apache Flink任意JAR包上传漏洞分析与修复指南
最新发布
weixin_43822401的博客
07-08 491
漏洞允许未经授权的用户上传JAR文件,这些JAR文件可以在Flink集群上执行,可能导致远程代码执行(RCE)。Apache Flink的任意JAR包上传漏洞是一个严重的安全问题,需要立即采取措施进行修复。通过本文提供的分析和修复指南,可以帮助管理员和开发人员保护他们的Flink集群不受此漏洞的影响。
Apache Flink目录遍历漏洞(REST API读/写远程文件)
crowsec
02-10 1431
CVE-2020-17518复现
Apache Flink目录遍历漏洞
ITgougou_的博客
01-07 324
fofa语法搜索app="Apache-Flink" poc: http://IP:PORT/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd 读取成功
Apache Flink目录遍历(CVE-2020-17519)批量检测脚本
09-24
2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的...
CVE-2020-17519:Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)
05-30
该脚本为Apache Flink 目录遍历漏洞批量检测 (CVE-2020-17519)。 使用方法:Python CVE-2020-17519.py urls.txt urls.txt 中每个url为一行,漏洞地址输出在vul.txt中 影响版本: Apache Flink 1.11.0、1.11.1、...
Apache Flink目录遍历(CVE-2020-17519)单目标检测工具
09-24
2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的...
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 未授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via Velocity template RCE CVE-2019-17564 Apache-Dubbo反序列化漏洞 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 ...
Apache Flink 目录遍历漏洞 CVE-2020-17519
m0_54323635的博客
08-31 431
2021年01月06日,360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞的风险通告,漏洞编号为CVE-2020-17518,CVE-2020-17519,漏洞等级:高危,漏洞评分:8.5。Apache Flink 1.11.0 中引入的一项更改(也在 1.11.1 和 1.11.2 中发布)允许攻击者通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。
Apache Struts2目录遍历漏洞(S2-004)
weixin_47493074的博客
09-27 631
Apache Struts2目录遍历漏洞(S2-004)
apache目录遍历漏洞利用_目录遍历漏洞简述_SegmentFault 行业快讯 - SegmentFault 思否...
weixin_34331744的博客
01-14 292
渗透人员可通过目录遍历攻击获取服务器的配置文件等等资料。一般的说,它调用服务器的标准API、使用的是文件的标准权限。所以它攻击的不是什么漏洞,而是网站设计人员的思想“缺陷”。常见的目录遍历攻击,访问“../”这类的上级文件夹的文件。“../”和转译攻击在2000年前后就存在了,只是那时候的攻击直接在URL里放字符串就ok了。今天的目录遍历攻击进化了很多。那么请允许我犯懒,摘取Wiki的几个例子:$...
CVE-2021-42013:Apache HTTP Server目录遍历漏洞
weixin_47179815的博客
07-13 2799
漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善,攻击者可利用该漏洞绕过修复补丁,并利用目录穿越攻击访问服务器中一些文件,进而造成敏感信息泄露。若httpd中开启CGI功能,攻击者可以构造恶意请求,造成远程代码执行。Apache HTTP Server 2.4.50 Apache HTTP Server 2.4.49查询地址:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202
Apache Flink 目录遍历漏洞之脚本收集可访问服务端口
weixin_39664643的博客
01-06 233
CVE-2020-17518/17519:Apache Flink 目录遍历漏洞 实现收集存在flink框架的服务器,并判断是否可访问 # 脚本功能: # 从(主机资产)xxx.json中搜索使用Flink框架的服务器,提取并测试其8081端口是否开启可访问 # import json import requests # flink_list = [] # 存放具有flink的服务器 # valid_flink = [] # 存放可访问的flink # 搜索使用Flink框架的服务器 def s
apache目录遍历漏洞利用_Apache Flink 目录遍历漏洞(CVE-2020-17518)WINDOWS 环境复现
weixin_42300090的博客
02-15 514
Apache Flink目录遍历漏洞复现(CVE-2020-17518)1.漏洞复现1.1漏洞背景Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。近日 Apache官网发布了Apache Flink目录遍历漏洞(...
apache目录遍历漏洞利用_漏洞Apache Flink 目录遍历漏洞威胁通告
weixin_33369196的博客
01-09 304
2021年1月6日,必达实验室天问安全团队依托监测平台发现Apache披露了Apache Flink 目录遍历漏洞(CVE-2020-17518、CVE-2020-17519)。经分析,远程攻击者可利用该漏洞在目标服务器上写入、读取任意文件。天问安全团队初步研判,该漏洞影响范围广泛,并提醒用户及时采取消控措施。1. 漏洞分析1.1 漏洞信息概要注:漏洞类型与危害等级参考[信息安全技术安...
目录遍历漏洞
weixin_45095113的博客
11-15 4563
目录遍历
apache flink文件上传漏洞修复
05-20
Apache Flink是一个分布式流处理框架,从版本1.0.0到1.4.0存在文件上传漏洞,攻击者可以通过该漏洞上传恶意文件并在服务器上执行任意代码,造成严重的安全风险。以下是修复该漏洞的步骤: 1.升级Apache Flink版本至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值