Apache Submarine SQL 注入漏洞(CVE-2023-37924)
CVE编号
CVE-2023-37924利用情况
暂无补丁情况
N/A披露时间
2023-11-22漏洞描述
Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。 Apache Submarine存在SQL注入漏洞,由于在SysDeptMapper.xml、SysUserMapper.xml等文件中的SQL语句使用了"$"参数符号,导致用户可控的输入直接拼接到SQL语句中。未授权的攻击者可以通过向/sys/searchSelect等接口发送恶意的keyword参数,从而执行恶意的SQL语句。解决建议
"将组件 org.apache.submarine:submarine-server 升级至 0.8.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/apache/submarine/pull/1037 | |
| https://issues.apache.org/jira/browse/SUBMARINE-1361 | |
| https://lists.apache.org/thread/g99h773vd49n1wyghdq1llv2f83w1b3r |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论