漏洞通告 | Apache Spark UI命令漏洞；Grails远程代码漏洞；Confluence Questions漏洞

最新推荐文章于 2025-03-08 23:50:48 发布

原创

最新推荐文章于 2025-03-08 23:50:48 发布 · 1.4k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #网络安全 #系统安全 #大数据 #网络

本文通报了三个安全漏洞：Apache Spark UI的命令注入漏洞，允许恶意用户执行shell命令；Grails框架的远程代码执行漏洞，影响多个版本；以及Confluence Questions的硬编码管理员账户漏洞，可能导致数据泄漏。建议升级相关组件至安全版本以防止攻击。

【漏洞通告】Apache Spark UI 命令注入漏洞

基础信息

CVE	CVE-2022-33891
等级	高危
类型	命令注入

漏洞详情

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

众至科技技术开放区

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

sparkler:Apache Spark的UI

05-09

烟火 :sparkles: Sparkler是一种工具，可以轻松地在家中部署Master / Worker计算网格。它连接框架。简单，非技术性的应用程序界面自动化，容错的分布式计算在家中多种语言的高性能计算框架目录（单击以展开） :floppy_disk: 安装要求到目前为止，它仅在 Windows 8.1、10，Ubuntu 16.04 （已编译）Apache Spark 2.11.8 （如果使用Windows OS）您可以从获取安装程序或克隆此存储库 git clone https://github.com/espetro/sparkler.git 下载Apache Spark发行版，然后将存储库解压缩到其文件夹中。然后将sparkler.jar （带有/不带.exe，.sh等效项）复制到Apache根文件夹。 :play_button: 用法如何部署主人启动应用程序，然后按“主”选项卡上的“ Start

grails-nV:易受攻击的 Grails 应用程序

05-30

grails_nV grails_nV 是一个易受攻击的职位列表网站。可以在找到有关 grails_nV 及其漏洞的更多信息设置在设置之前，您需要安装 JDK。仅仅拥有 JRE 是不够的。 OpenJDK运作良好，但还有其他选择。要设置 Groovy，我们建议使用 GVM，它允许轻松安装。 curl -s get.gvmtool.net | bash source "$HOME/.gvm/bin/gvm-init.sh" gvm install groovy 之后，您可以轻松安装 Grails。 gvm install grails 要设置数据库，请运行目录中提供的初始设置脚本。 chmod +x initial-setup.sh ./initial-setup.sh 默认情况下，grails_nV 使用存储在磁盘上的 H2 数据库中的构建。然而， grail

参与评论您还未登录，请先登录后发表或查看评论

Apache Spark UI 命令注入漏洞（CVE-2022-33891）

OSCS开源安全社区

07-19

1459

7月18日，OSCS监测到Apache发布安全公告，修复了一个ApacheSparkUI中存在的命令注入漏洞。高危。

Apache Spark UI 命令注入漏洞 CVE-2022-33891

蚁景网安学院

10-18

1377

Apache Spark UI 提供了通过配置选项 spark.acls.enable。使用身份验证过滤器，这检查用户是否有访问权限来查看或修改应用。如果启用了 ACL，则 HttpSecurityFilter 中的代码路径可以允许某人通过提供任意用户名来执行模拟。

Apache Spark UI 命令注入漏洞 CVE-2022-33891

蚁景网安学院

10-18

937

　https://www.cnsuc.net/thread-522.htm漏洞简介The Apache Spark UI offers the possibility to enable ACLs via theconfiguration option spark.acls.enable. With an authentication filter, thischecks whether a us...

【高危】Apache Spark UI shell 命令注入漏洞（POC）

murphysec的博客

05-16

1125

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。该漏洞是针对此前CVE-2022-33891漏洞的修订，原有漏洞通告中认为3.1.3版本已修复该漏洞，后发现仍受到影响，3.1.3版本已不再维护，官方建议升级至3.4.0版本。该漏洞已存在 POC。

Grails FCKeditor插件漏洞修复及文件结构分析

资源摘要信息:"本文档包含了关于Grails框架中FCKeditor插件（版本0.3）的信息，该插件用于集成FCKeditor所见即所得编辑器到Grails应用中。在描述中提到了一个特定的漏洞问题，即在特定条件下，通过插入空格，用户...

Groovy语言的漏洞扫描

最新发布

2501_91009297的博客

03-08

818

与Java无缝集成：Groovy代码可以直接调用Java类库，并且Groovy代码可以编译为Java字节码，运行在JVM上。简洁的语法：Groovy的语法比Java更加简洁，减少了样板代码的编写。动态类型：Groovy支持动态类型，变量类型可以在运行时确定。闭包支持：Groovy提供了强大的闭包支持，使得函数式编程更加方便。元编程：Groovy支持元编程，允许在运行时修改类的行为。Groovy作为一种灵活且功能强大的动态编程语言，广泛应用于各种场景。

Grails应用程序安全漏洞与防护指南

GVM的安装指令如下：首先通过curl命令下载GVM安装脚本并执行，然后设置GVM的初始化脚本，最后安装Groovy和Grails。对于数据库的设置，该资源建议运行一个初始设置脚本来设置数据库。默认情况下，grails_nV应用程序...

访问控制漏洞和权限提升 | PortSwigger（burpsuite官方靶场）| Part 1

bin789456的博客

03-18

5085

写在前面一些概念会直接引用，主要是对于靶场和关键知识点会进行讲解。靶场链接资料引用访问控制概念简单的来说就是应用程序首先会判断用户的身份（账号密码登录），随后确认后续请求是否由该用户发出（会话管理），然后判断是否允许用户执行“所请求的操作”或访问“所请求的资源（访问控制）” 1、从用户角度访问控制模型分为以下类型：垂直访问控制：控制不同权限等级的用户访问应用程序不同的功能；如“管理员”可以修改/删除账号，而普通账号无法操作。水平访问控制：控制用户只能访问自己的资源，而不能访问其他用户相同

Grails陷阱之二

hax的技术部落格

03-18

244

前篇：[url=http://hax.iteye.com/blog/347558]Grails陷阱之一[/url] Grails陷阱之二：[b]跨request使用Domain Class实例需要重新attach[/b] 其实这并不能说是Grails的陷阱，而是Grails所依赖的Hibernate设计使然，不过初学者（比如我）可能对此没有概念，因此拿来说一下。代码非常简单，如...

confluence的使用

weixin_30312563的博客

11-26

246

搜索文档的技巧在confluence中进行搜索的时候，也需要使用通配符。比如搜索cmscontext,需要这么搜索cmscontex*，如果搜索的话，cmscontext.geturl是会被过滤掉的。标点被截断 https://confluence.atlassian.com/conf66/confluence-search-syntax-943962309.html Leading w...

Spark Web UI详解

热门推荐

qq_27639777的博客

07-16

2万+

Spark Web UI是学习调试spark任务的入口，查看spark UI任务日志也是一项必备技能。但在几番搜索后，一直没能找到全面详细地对如何查看spark Web UI方法的文章，故在查看资料及个人理解的基础上整理了本篇文章，欢迎大家一起交流学习！下面对spark Web UI的各tab页分别进行介绍： 1. Jobs 在提交spark任务运行后，日志中会输出tracking UR...

你的Grails应用安全么？

相信未来

03-15

1848

你的Grails应用安全么？

Spark2.1.0——SparkUI的实现

beliefer的博客

11-20

4245

任何系统都需要提供监控功能，否则在运行期间发生一些异常时，我们将会束手无策。也许有人说，可以增加日志来解决这个问题。日志只能解决你的程序逻辑在运行期的监控，进而发现Bug，以及提供对业务有帮助的调试信息。当你的JVM进程奔溃或者程序响应速度很慢时，这些日志将毫无用处。好在JVM提供了jstat、jstack、jinfo、jmap、jhat等工具帮助我们分析，更有VisualVM的可视化界面以更加直...

JAVA常用框架及漏洞

小小猪的博客

08-13

4077

三大语言常用框架及漏洞 Java框架 1.MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架，其主要就完成2件事情：封装JDBC操作利用反射打通Java类与SQL语句之间的相互转换 MyBatis的主要设计目的就是让我们对执行SQL语句时对输入输出的数据管理更加方便，所以方便地写出SQL和方便地获取SQL的执行结果才是MyBatis的核心竞争力。 ...

CVE-2022-26138 Confluence Server硬编码漏洞复现

热爱学习，喜欢折腾！

10-13

2735

Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。7月，Atlassian官方发布了2022年7月的安全更新，其中涉及到Confluence Server的多个漏洞，其中CVE-2022-26138为一个硬编码漏洞。

常见应用安全漏洞

金溪的博客

07-14

2772

1.注入注入攻击漏洞，例如SQL、OS、LDAP注入。这些攻击发生在当不可信的数据作为命令或查询语句的一部分，被发送给解释器的时候，攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或未授权的查询。 2.失效的身份认证和会话管理与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏密码、秘钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份。 3.XSS跨站脚...

Grails - Interceptors

金溪的博客

05-15

1339

在Grails 3.0之前，Grails有Filter概念，3.0之后仍可使用，但并不推荐。定义Interceptors 默认情部况下，Interceptors会拦截同名的controller请求，如果我们有一个interceptor称为BookInterceptor，那么所有请求BookController的请求都会触发这个interceptor。一个Interceptor需要实现接口...