PT-2022-5283 · Apache+1 · Apache Linkis+1
4Ra1N
+2
·
Publicado
2022-10-26
·
Atualizado
2022-10-28
·
CVE-2022-39944
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache Linkis versões 1.2.0 e anteriores
Descrição
Existe uma vulnerabilidade de deserialização no Apache Linkis quando utilizado com o MySQL Connector/J, podendo permitir a execução remota de código caso um invasor tenha acesso de gravação a um banco de dados e configure um JDBC EC com uma fonte de dados MySQL e parâmetros maliciosos. O problema está relacionado à restauração de dados não confiáveis na memória.
Recomendações
Para as versões 1.2.0 e anteriores do Apache Linkis, atualize para a versão 1.3.0 para resolver o problema. Como solução alternativa temporária, considere colocar os parâmetros na URL do JDBC na lista negra para minimizar o risco de exploração.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Linkis
Mysql Connector/J