北京赛克艾威科技有限公司 2024-07-13
Apache Linkis 是面向大数据和人工智能应用的开源治理平台。 受影响版本中,由于 DataSource Manager 模块未对用户可控的 DB2 参数有效过滤,经过身份验证的攻击者可构造恶意的 DB2 参数进行JNDI注入攻击,在目标系统远程执行任意代码。
1. 将组件 org.apache.linkis:linkis-engineconn-plugins 升级至 1.6.0 及以上版本 2. 将组件 linkis 升级至 1.6.0 及以上版本
https://www.oscs1024.com/hd/MPS-ztsw-0h6m
https://nvd.nist.gov/vuln/detail/CVE-2023-49566
https://github.com/apache/linkis/commit/43cb5b2e307d51a5194135b0295176bb3f3bdc1b