Apache Flink sérülékenysége
Angol cím: Apache Flink Vulnerability
Publikálás dátuma: 2021.01.21.
Utolsó módosítás dátuma: 2024.05.23.
Leírás
A fájlok és könyvtárak olyan környezetben is elérhetőek, ahol nem szabadna.
Leírás forrása: CWE-552Elemzés leírás
Eredeti nyelven: A change introduced in Apache Flink 1.11.0 (and released in 1.11.1 and 1.11.2 as well) allows attackers to read any file on the local filesystem of the JobManager through the REST interface of the JobManager process. Access is restricted to files accessible by the JobManager process. All users should upgrade to Flink 1.11.3 or 1.12.0 if their Flink instance(s) are exposed.
Elemzés leírás forrása: CVE-2020-17519Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Nincs
Következmények
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Apache Flink 1.11.3 vagy 1.12.0 előtti verziók