漏洞信息
# Apache Flink 目录遍历攻击:通过 REST API 进行远程文件写入
## 漏洞概述
Apache Flink 1.5.1引入了一个REST处理器,通过恶意修改的HTTP HEADER,可以将上传的文件写入本地文件系统的任意位置。此漏洞影响Flink 1.5.1版本,所有用户应升级到Flink 1.11.3或1.12.0以修复此问题,特别是当其Flink实例暴露于互联网时。
## 影响版本
- Apache Flink 1.5.1
## 漏洞细节
通过修改HTTP HEADER,攻击者可以将上传的文件写入任意一个Flink 1.5.1可访问的本地文件系统位置。此漏洞已在commit a5264a6f41524afe8ceadf1d8ddc8c80f323ebc4中修复。
## 影响
攻击者可以利用此漏洞向Flink实例可访问的任意路径写文件,从而可能导致进一步的安全问题。建议用户升级到修复版本以避免潜在的攻击风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Flink directory traversal attack: remote file writing through the REST API
漏洞描述信息
Apache Flink 1.5.1 introduced a REST handler that allows you to write an uploaded file to an arbitrary location on the local file system, through a maliciously modified HTTP HEADER. The files can be written to any location accessible by Flink 1.5.1. All users should upgrade to Flink 1.11.3 or 1.12.0 if their Flink instance(s) are exposed. The issue was fixed in commit a5264a6f41524afe8ceadf1d8ddc8c80f323ebc4 from apache/flink:master.
CVSS信息
N/A
漏洞类别
相对路径遍历
漏洞标题
Apache Flink 路径遍历漏洞
漏洞描述信息
Apache Flink是美国阿帕奇软件(Apache)基金会的一款开源的分布式流数据处理引擎。该产品主要使用Java和Scala语言编写。 Apache Flink 1.5.1 存在安全漏洞,该漏洞源于一个REST处理程序允许攻击者通过恶意修改的HTTP头将上传的文件写入到本地文件系统上的任意位置。
CVSS信息
N/A
漏洞类别
路径遍历