Каталог уязвимостей Сканер-ВС

Вернуться к списку

CVE-2020-17519

Оценки

Оценка EPSS

0.9441

CVSS

3.x 7.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Все оценки CVSS

CVSS 4.0
0.0
CVSS 3.x
7.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0
5.0

Вектор: AV:N/AC:L/Au:N/C:P/I:N/A:N

Описание

Изменение, введенное в Apache Flink 1.11.0 (и выпущено в 1.11.1 и 1.11.2), позволяет злоумышленникам читать любой файл в локальной файловой системе JobManager через интерфейс REST процесса JobManager. Доступ ограничен файлами, доступными в процессе JobManager. Все пользователи должны обновиться до Flink 1.11.3 или 1.12.0, если их Flink instance (s) будут открыты. Проблема была исправлена в commit b561010b0ee741543c3953306037f00d7a9f0801 от apache/flink:master.

Источники

nvd

CWE

CWE-552

Эксплойты

ID эксплойта: CVE-2020-17519

Источник: cisa

URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

ID эксплойта: 49398

Источник: exploitdb

URL: https://www.exploit-db.com/exploits/49398

Справочные ссылки

http://packetstormsecurity.com/files/160849/Apache-Flink-1.11.0-Arbitrary-File-Read-Directory-Traversal.html
http://www.openwall.com/lists/oss-security/2021/01/05/2
https://lists.apache.org/thread.html/r0a433be10676f4fe97ca423d08f914e0ead341c901216f292d2bbe83%40%3Cissues.flink.apache.org%3E
https://lists.apache.org/thread.html/r1125f3044a0946d1e7e6f125a6170b58d413ebd4a95157e4608041c7%40%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/r229167538863518738e02f4c1c5a8bb34c1d45dadcc97adf6676b0c1%40%3Cdev.flink.apache.org%3E
https://lists.apache.org/thread.html/r26fcdd4fe288323006253437ebc4dd6fdfadfb5e93465a0e4f68420d%40%3Cuser-zh.flink.apache.org%3E
https://lists.apache.org/thread.html/r28f17e564950d663e68cc6fe75756012dda62ac623766bb9bc5e7034%40%3Cissues.flink.apache.org%3E
https://lists.apache.org/thread.html/r2fc60b30557e4a537c2a6293023049bd1c49fd92b518309aa85a0398%40%3Cissues.flink.apache.org%3E
https://lists.apache.org/thread.html/r4e1b72bfa789ea5bc20b8afe56119200ed25bdab0eb80d664fa5bfe2%40%3Cdev.flink.apache.org%3E
https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E
https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cuser.flink.apache.org%3E
https://lists.apache.org/thread.html/r88b55f3ebf1f8f4e1cc61f030252aaef4b77060b56557a243abb92a1%40%3Cissues.flink.apache.org%3E
https://lists.apache.org/thread.html/r88f427865fb6aa6e6378efe07632a1906b430365e15e3b9621aabe1d%40%3Cissues.flink.apache.org%3E
https://lists.apache.org/thread.html/r90890afea72a9571d666820b2fe5942a0a5f86be406fa31da3dd0922%40%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/ra8c96bf3ccb4e491f9ce87ba35f134b4449beb2a38d1ce28fd89001f%40%3Cdev.flink.apache.org%3E
https://www.cve.org/CVERecord?id=CVE-2020-17519 https://nvd.nist.gov/vuln/detail/CVE-2020-17519 https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://bugzilla.redhat.com/show_bug.cgi?id=1913317

Уязвимое ПО

Тип: Конфигурация

Поставщик: apache

Продукт: flink

Операционная система: * * *

Характеристика: 
{
  "cpe_match": [
    {
      "cpe23uri": "cpe:2.3:a:apache:flink:*:*:*:*:*:*:*:*",
      "versionEndExcluding": "1.11.3",
      "versionStartIncluding": "1.11.0",
      "vulnerable": true
    }
  ],
  "operator": "OR"
}

Источник: nvd