高风险组件漏洞及修复办法kuberneteskube-apiserver存在SSRF漏洞（CVE-2022-3172）漏洞描述影响范围修复方案ApacheSpark命令注入漏洞（CVE-2022-33891

漏洞描述该漏洞是针对此前CVE-2022-33891漏洞的修订，原有漏洞通告中认为3.1.3版本已修复该漏洞，后发现仍受到影响，3.1.3版本已不再维护，官方建议升级至3.4.0版本。

漏洞名称:APACHESPARKUI命令注入命令注入漏洞漏洞级别:高危漏洞编号:CVE-2022-33891;CNVD-2022-52835;CNNVD-202207-1463相关涉及:ApacheSpark

CVE-2022-33891漏洞原理、环境搭建和复现前言最近有幸参与了某地市的攻防演练，在扫描器漏洞都被提交了之后，大杀器也逐渐开始浮出水面，其中就包含今天的主角：apachespark的rce。

0x01漏洞简述2022年07月19日，Apache官方发布了ApacheSpark的风险通告，漏洞编号为CVE-2022-33891，漏洞等级：中危，漏洞评分：6.5。

一、漏洞概述ApacheSpark是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UCBerkeleyAMPlab(加州大学伯克利分校的AMP实验室)所开源的类HadoopMapReduce的通用并行框架，Spark，拥有HadoopMapReduce所具有的优点；但不同于MapReduce的是——Job中间输出结果可以保存在内存中，从而不再需要读写HDFS，因此Spark能更好地适用

0x00漏洞描述ApacheSpark存在一处命令注入，该漏洞是由于ApacheSparkUI提供了通过配置选项spark.acls.enable启用ACL的可能性，HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。恶意用户凭借访问权限检查函数最终将基于其输入构建Unixshell命令并执行它。成功利用此漏洞可导致任意shell命令执行。0x01危害等级类型

一、apachespark简介ApacheSpark是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UCBerkeleyAMPlab(加州大学伯克利分校的AMP实验室)所开源的类HadoopMapReduce的通用并行框架，Spark，拥有HadoopMapReduce所具有的优点；但不同于MapReduce的是——Job中间输出结果可以保存在内存中，从而不再需要读写HDFS，因此Sp

本周安全态势综述OSCS社区共收录安全漏洞26个，值得关注的是ApacheSparkUIshell命令注入漏洞（CVE-2022-33891），ApacheXalan存在整数截断漏洞（CVE-2022-

开源漏洞深度分析棱镜七彩研究院威胁情报团队对CVE-2022-33891ApacheSpark命令注入漏洞进行了深度分析。项目介绍ApacheSpark是专为大规模数据处理而设计的快速通用的计算引擎。Spark是UCBerkeleyAMPlab(加州大学伯克利分校的AMP实验室)所开源的类HadoopMapReduce的通用并行框架，Spark，拥有HadoopMapReduce所具有的优点；但不

博主介绍‍博主介绍：大家好，我是_PowerShell，很高兴认识大家~✨主攻领域：【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯（一键三连）欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋作者水平有限，欢迎各位大佬指点，相互学习进步！文章目录博主介绍一、漏洞编号二、影响版本三、环境搭建下载编译包3.0.3版本解压编译包：执行：打开连接即可四、代码注入漏洞