Apache Hive SAML SSO JDBC命令注入漏洞(CVE-2023-35701)
CVE编号
CVE-2023-35701利用情况
暂无补丁情况
N/A披露时间
2024-05-03漏洞描述
Apache Hive是美国阿帕奇(Apache)软件基金会的一套基于Hadoop(分布式系统基础架构)的数据仓库软件,Hive中提供了基于SAML协议的SSO集成能力。 在受影响版本中,由于Hive支持配置JDBC连接字符串形式的SSO地址,并通过命令拼接调用浏览器完成SAML验证过程。 具有管理员权限的攻击者可能通过配置恶意的JDBC地址,使hive客户端节点执行恶意命令。 在4.0.0正式版本中限制只支持传入HTTP/HTTPS协议的远程URI,修复该漏洞。解决建议
"将组件 hive 升级至 4.0.0 及以上版本""将组件 org.apache.hive:hive-jdbc 升级至 4.0.0 及以上版本"
参考链接 |
|
|---|---|
| https://lists.apache.org/thread/7zcv6l63spl4r66xwz5jv9rtrg2opx81 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-94 | 对生成代码的控制不恰当(代码注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论