CVE-2024-45627

Nome do Software Vulnerável e Versões Afetadas: Versões do Apache Linkis anteriores à 1.7.0

Descrição: No Apache Linkis, devido à falta de filtragem efetiva de parâmetros, um atacante que configure parâmetros maliciosos do MySQL JDBC no DataSource Manager Module poderá ler arquivos arbitrários do servidor Linkis. Os parâmetros na URL do MySQL JDBC devem ser incluídos em uma lista de bloqueio. Este ataque requer que o atacante obtenha uma conta autorizada no Linkis antes de poder ser executado.

Recomendações: Para versões do Apache Linkis anteriores à 1.7.0, recomendamos atualizar o Linkis para a versão 1.7.0. Como medida temporária, considere incluir em uma lista de bloqueio os parâmetros na URL do MySQL JDBC para minimizar o risco de exploração. Restrinja o acesso ao DataSource Manager Module para minimizar o risco de exploração. Evite a utilização de parâmetros maliciosos do MySQL JDBC no DataSource Manager Module até que o problema seja resolvido.