2024年4月11日,网上更新披露了一个Apache Zeppelin 代码注入漏洞(CVE-2024-31861),Apache Zeppelin 是一个让交互式数据分析变得可行的基于网页的开源框架,Zeppelin提供了数据分析、数据可视化等功能,请各位用户尽快安装漏洞补丁。
漏洞风险:Apache Zeppelin 中代码生成控制不当(“代码注入”)漏洞。攻击者可以使用 Shell解释器作为代码生成网关,并以正常方式执行生成的代码。
风险等级:高风险。
影响范围:
0.10.1 <= Apache Zeppelin < 0.11.1
修复建议:
1、升级至最新版本。
2、利用安全组设置其仅对可信地址开放。
进行安全更新方法:
https://github.com/apache/zeppelin/tags
