2024年2月28日,网上公开披露了一个Apache Ambari < 2.7.8 XXE注入漏洞(CVE-2023-50380),Apache Ambari 是一个用于配置、管理和监控 Apache Hadoop 集群的工具,请各位用户尽快安装漏洞补丁。
漏洞风险:Apache Ambari <2.7.8中存在XXE注入漏洞,由于DocumentBuilderFactory实例在解析XML文档时未正确配置以禁用外部实体,未验证用户输入。低权限攻击者可以通过提交恶意XML文档来读取服务器上的任意文件以及提升权限等操作。
风险等级:高风险。
影响范围:
ambari@[2.7.0, 2.7.8)
修复建议:
将 ambari 升级至 2.7.8 及以上版本
