PT-2020-20691 · Apache · Apache Spark

Publicado

2020-06-23

·

Atualizado

2025-10-01

·

CVE-2020-9480

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões 2.4.5 e anteriores do Apache Spark
Descrição
Uma chamada RPC especialmente criada para o mestre pode conseguir iniciar os recursos de uma aplicação no cluster do Spark, mesmo sem a chave compartilhada, quando a autenticação é habilitada por meio de um segredo compartilhado. Isso pode ser explorado para executar comandos de shell na máquina host. Este problema não afeta clusters do Spark que utilizam outros gerenciadores de recursos, como o YARN ou o Mesos.
Recomendações
Para as versões 2.4.5 e anteriores do Apache Spark, considere desativar o recurso de autenticação até que um patch esteja disponível ou restrinja o acesso ao mestre para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Improper Authentication

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287CWE-306

Identificadores relacionados

BDU:2025-09903
BIT-SPARK-2020-9480
CVE-2020-9480
GHSA-WGX7-JWWM-CGJV
PYSEC-2020-95

Produtos afetados

Apache Spark