北京赛克艾威科技有限公司 2024-07-13
Apache Linkis 是面向大数据和人工智能应用的开源治理平台。 受影响版本中,DataSource Manager 模块对传入的 JDBC URL 和参数检查不足,攻击者可以通过构造恶意 JDBC URL 进行任意文件读取。 修复版本中,通过 SecurityUtils.getMysqlSecurityParams\(\) 方法确保 JDBC 参数安全并且增加对相对路径的检查,以修复漏洞。
1. 将组件 org.apache.linkis:linkis-public-enhancements 升级至 1.6.0 及以上版本 2. 将组件 linkis 升级至 1.6.0 及以上版本
https://www.oscs1024.com/hd/MPS-ylz8-o0nr
https://nvd.nist.gov/vuln/detail/CVE-2023-41916
https://github.com/apache/linkis/commit/43cb5b2e307d51a5194135b0295176bb3f3bdc1b