В Apache Hadoop 2.2.0 до 2.10.1, 3.0.0-alpha1 до 3.1.4, 3.2.0 до 3.2.2 и 3.3.0 до 3.3.1 пользователь, который может повысить привилегии до …
В Apache Hadoop 2.2.0 до 2.10.1, 3.0.0-alpha1 до 3.1.4, 3.2.0 до 3.2.2 и 3.3.0 до 3.3.1 пользователь, который может повысить привилегии до пользователя yarn, может запускать произвольные команды от имени пользователя root. Пользователям следует обновиться до Apache Hadoop 2.10.2, 3.2.3, 3.3.2 или более поздней версии.
Продукт использует внешние входные данные для формирования пути, который должен находиться внутри ограниченного каталога, однако не нейтрализует должным образом последовательности "../", способные разрешиться в местоположение за пределами этого каталога.
https://cwe.mitre.org/data/definitions/24.html →Открыть в коллекции CWE →Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| hadoop | Отслеживается | |
| hadoop | * | Отслеживается |