PT-2021-10096 · Apache · Apache Flink

0Rich1

Publicado

2021-01-05

Atualizado

2024-03-06

CVE-2020-17518

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

**Nome do software vulnerável e versões afetadas:

Apache Flink versão 1.5.1

Descrição:

Um manipulador REST no Apache Flink permite gravar um arquivo enviado em qualquer local do sistema de arquivos local por meio de um cabeçalho HTTP HEADER modificado de forma maliciosa. Essa vulnerabilidade permite que arquivos sejam gravados em qualquer local acessível pelo software.

Recomendações:

Para a versão 1.5.1 do Apache Flink, atualize para o Flink 1.11.3 ou 1.12.0, especialmente se a instância do Flink estiver exposta.

Exploit

Correção

Relative Path Traversal

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-23CWE-22

Identificadores relacionados

BIT-FLINK-2020-17518

CVE-2020-17518

GHSA-7Q5G-GPH2-4RC6

Produtos afetados

Apache Flink

PT-2021-10096 · Apache · Apache Flink

CVE-2020-17518

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 63