Vulnerabilidad en Apache Spark (CVE-2025-54920)

Este problema afecta a Apache Spark: antes de 3.5.7 y 4.0.1. Se recomienda a los usuarios actualizar a la versión 3.5.7 o 4.0.1 y posteriores, que corrige el problema.<br /> <br /> Resumen<br /> <br /> Apache Spark 3.5.4 y versiones anteriores contienen una vulnerabilidad de ejecución de código en la interfaz de usuario web de Spark History debido a una deserialización de Jackson excesivamente permisiva de los datos del registro de eventos. Esto permite a un atacante con acceso al directorio de registros de eventos de Spark inyectar cargas útiles JSON maliciosas que desencadenan la deserialización de clases arbitrarias, lo que permite la ejecución de comandos en el host que ejecuta el Spark History Server.<br /> <br /> Detalles<br /> <br /> La vulnerabilidad surge porque el Spark History Server utiliza la deserialización polimórfica de Jackson con @JsonTypeInfo.Id.CLASS en objetos SparkListenerEvent, lo que permite a un atacante especificar nombres de clase arbitrarios en el JSON del evento. Este comportamiento permite instanciar clases no deseadas, como org.apache.hive.jdbc.HiveConnection, que pueden realizar llamadas de red u otras acciones maliciosas durante la deserialización.<br /> <br /> El atacante puede explotar esto inyectando contenido JSON manipulado en los archivos de registro de eventos de Spark, que el History Server luego deserializa al iniciar o al cargar los registros de eventos. Por ejemplo, el atacante puede forzar al History Server a abrir una conexión JDBC a un servidor remoto controlado por el atacante, demostrando la capacidad de inyección de comandos remota.<br /> <br /> Prueba de concepto:<br /> <br /> 1. Ejecute Spark con el registro de eventos habilitado, escribiendo en un directorio con permisos de escritura (spark-logs).<br /> <br /> 2. Inyecte el siguiente JSON al principio de un archivo de registro de eventos:<br /> <br /> {<br /> <br /> "Event": "org.apache.hive.jdbc.HiveConnection",<br /> "uri": "jdbc:hive2://:/",<br /> "info": {<br /> "hive.metastore.uris": "thrift://:"<br /> }<br /> }<br /> <br /> 3. Inicie el Spark History Server con los registros apuntando al directorio modificado.<br /> <br /> 4. El Spark History Server inicia una conexión JDBC al servidor del atacante, confirmando la inyección.<br /> <br /> Impacto<br /> <br /> Un atacante con acceso de escritura a los registros de eventos de Spark puede ejecutar código arbitrario en el servidor que ejecuta el History Server, comprometiendo potencialmente todo el sistema.