漏洞风险提示（20230505）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Spark 命令注入漏洞(CVE-2023-32007)
一、漏洞描述：

        Apache Spark是一种快速、分布式、通用的大数据处理引擎，支持各种数据处理任务，包括批处理、交互式查询、流处理和机器学习等。
        Apache Spark在3.1.1至3.2.2版本中存在命令注入漏洞。Apache Spark UI 提供了配置选项 spark.acls.enable 启用 ACL 。当使用身份验证过滤器时，将会检查用户是否具有查看或者修改应用程序的访问权限，若启用了 ACL，则在 HttpSecurityFilter 中的代码路径允许某人通过提供任意用户名来模拟执行。攻击者能够访问权限检查功能，最终将根据他们的输入构建一个unix shell 并执行。这将导致任意的命令执行。该漏洞在CVE-2022-33891时已经被披露，但当时错误声明了影响的版本。
二、风险等级：
        高危
三、影响范围：
        3.1.1 <= Apache Spark <= 3.2.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/poxgnxhhnzz735kr1wos366l5vdbb0nv

---

2 Flask 信息泄露漏洞(CVE-2023-30861)
一、漏洞描述：

        Flask是一个轻量级的WSGI web应用框架。当满足漏洞利用条件时，代理可能会缓存并将包含一个客户端数据的响应发送给其他客户端。如果代理还缓存了 Set-Cookie 标头，它可能会将一个客户端的 session cookie发送给其他客户端。
二、风险等级：
        高危
三、影响范围：
        flask < 2.3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/pallets/flask ... 55703e9cc3386b1cc2b

---

3 BIG-IP Configuration utility跨站脚本漏洞(CVE-2023-27378)
一、漏洞描述：

        BIG-IP Configuration utility是F5公司的一款配置管理工具。该工具存在多个反射型XSS漏洞，允许攻击者在当前登录用户的上下文中执行JavaScript。
二、风险等级：
        高危
三、影响范围：
        17.0.0  <= BIG-IP Configuration utility <=  17.1.0
        16.1.0  <= BIG-IP Configuration utility <=  16.1.3
        15.1.0  <= BIG-IP Configuration utility <=  15.1.8
        14.1.0  <= BIG-IP Configuration utility <=  14.1.5
        13.1.0  <= BIG-IP Configuration utility <=  13.1.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://my.f5.com/manage/s/article/K000132726

---

4 FortiADC 命令注入漏洞(CVE-2023-27999)
一、漏洞描述：

        FortiADC 是一种应用交付控制器，可提供高性能、高可用性和安全的应用程序交付，同时降低 IT 成本和复杂性。
        FortiADC在7.2.0和7.1.0-7.1.1版本中存在命令注入漏洞。FortiADC中使用的特殊元素的不当使用，可能会允许认证的攻击者通过专门制作的参数来执行未经授权的命令。
二、风险等级：
        高危
三、影响范围：
        FortiADC 7.2.0
        7.1.0 <= FortiADC <= 7.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://fortiguard.com/psirt/FG-IR-22-297

---