漏洞信息 CVE编号: CVE-2024-31864 漏洞描述: Apache Zeppelin: 通过添加恶意的JDBC连接字符串实现远程代码执行 严重程度: 中等 受影响版本: - Apache Zeppelin 0.11.1 之前的版本 漏洞描述: - Apache Zeppelin 中存在代码生成控制不当(代码注入)漏洞。 - 攻击者在通过 JDBC 驱动连接 MySQL 数据库时,可以注入敏感配置或恶意代码,这个问题影响 Apache Zeppelin 0.11.1 之前的版本。 修复建议: - 推荐用户升级到 0.11.1 版本以修复问题。 跟踪编号: - ZEPPELIN-5990 发现人: - rg 参考资料: - https://github.com/apache/zeppelin/pull/4709 - https://www.cve.org/CVERecord?id=CVE-2020-11974 - https://zeppelin.apache.org/ - https://www.cve.org/CVERecord?id=CVE-2024-31864 - https://issues.apache.org/jira/browse/ZEPPELIN-5990