Vulnerabilidad en la interfaz de usuario de Apache Spark (CVE-2022-33891)

La interfaz de usuario de Apache Spark ofrece la posibilidad de habilitar ACLs por medio de la opción de configuración spark.acls.enable. Con un filtro de autenticación, es comprobado si un usuario presenta permisos de acceso para ver o modificar la aplicación. Si las ACLs están habilitadas, una ruta de código en HttpSecurityFilter puede permitir que alguien lleve a cabo una suplantación de identidad proporcionando un nombre de usuario arbitrario. Un usuario malicioso podría entonces ser capaz de llegar a una función de comprobación de permisos que finalmente construirá un comando de shell Unix basado en su entrada, y lo ejecutará. Esto resultará en la ejecución de un comando shell arbitrario como el usuario con el que Spark se está ejecutando actualmente. Esto afecta a las versiones de Apache Spark 3.0.3 y anteriores, a las versiones 3.1.1 a 3.1.2 y a las versiones 3.2.0 a 3.2.1