CVE-2022-33891
Apache Spark shell command injection vulnerability via Spark UI
En resumen
La interfaz web de Apache Spark tiene una falla de seguridad que permite a atacantes ejecutar comandos arbitrarios del sistema en el servidor. Si ACLs están habilitadas, un atacante puede suplantar a otro usuario y ejecutar comandos shell con los privilegios de Spark.
Detalle técnico
Una ruta de código en HttpSecurityFilter permite la suplantación de usuarios cuando spark.acls.enable está configurado, eludiendo verificaciones de autenticación. Un atacante puede inyectar entrada arbitraria en una función de verificación de permisos que construye y ejecuta comandos shell Unix, resultando en ejecución remota de código con privilegios del proceso Spark (CWE-78: Inyección de Comandos del SO).
Resumen generado y traducido por IA a partir de la descripción oficial.
The Apache Spark UI offers the possibility to enable ACLs via the configuration option spark.acls.enable. With an authentication filter, this checks whether a user has access permissions to view or modify the application. If ACLs are enabled, a code path in HttpSecurityFilter can allow someone to perform impersonation by providing an arbitrary user name. A malicious user might then be able to reach a permission check function that will ultimately build a Unix shell command based on their input, and execute it. This will result in arbitrary shell command execution as the user Spark is currently running as. This affects Apache Spark versions 3.0.3 and earlier, versions 3.1.1 to 3.1.2, and versions 3.2.0 to 3.2.1.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Apache Software Foundation · Apache SparkPoCs públicas encontradas — 12
githubgithub.com/HuskyHacks/cve-2022-33891★ 89githubgithub.com/W01fh4cker/cve-2022-33891★ 51githubgithub.com/AmoloHT/CVE-2022-33891★ 25githubgithub.com/AkbarTrilaksana/cve-2022-33891★ 3githubgithub.com/K3ysTr0K3R/CVE-2022-33891-EXPLOIT★ 2githubgithub.com/Vulnmachines/Apache-spark-CVE-2022-33891★ 1githubgithub.com/DrLinuxOfficial/CVE-2022-33891★ 1githubgithub.com/asepsaepdin/CVE-2022-33891★ 0githubgithub.com/nanaao/CVE-2022-33891★ 0githubgithub.com/ps-interactive/lab_security_apache_spark_emulation_detection★ 0githubgithub.com/elsvital/cve-2022-33891-fix★ 0cve_referencepacketstormsecurity.com/files/168309/Apache-Spark-Unauthenticated-Command-Injection.htmlno verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/168309/Apache-Spark-Unauthenticated-Command-Injection.htmlhttps://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlchttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-33891http://www.openwall.com/lists/oss-security/2023/05/02/1