Vulnerabilidad en Apache Zeppelin (CVE-2024-31861)

Gravedad:

Pendiente de análisis

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

11/04/2024

Última modificación:

21/06/2024

Descripción

Vulnerabilidad de control inadecuado de generación de código ("inyección de código") en Apache Zeppelin. Los atacantes pueden utilizar el intérprete Shell como puerta de enlace de generación de código y ejecutar el código generado de forma normal. Este problema afecta a Apache Zeppelin: desde 0.10.1 antes de 0.11.1. Se recomienda a los usuarios actualizar a la versión 0.11.1, que no tiene intérprete de Shell de forma predeterminada.

Impacto

Referencias a soluciones, herramientas e información

http://www.openwall.com/lists/oss-security/2024/04/10/8
https://github.com/apache/zeppelin/pull/4708
https://lists.apache.org/thread/99clvqrht5l5r6kzjzwg2kj94boc9sfh