Vulnerabilidad de inyección de comandos en Apache Spark Shell

Apache Spark ha publicado un nuevo aviso de seguridad, que permitiría a un atacante realizar inyección de comandos y omisión de autenticación en el sistema afectado.

La vulnerabilidad identificada como CVE-2022-33891, de severidad “Alta” y sin puntuación asignada aún. Esta se debe a que la interfaz de usuario de Apache Spark ofrece la posibilidad de habilitar la lista de control de acceso (ACL) a través de la opción de configuración spark.acls.enable. Si las listas de control de acceso (ACL) están habilitadas, la ruta de acceso de código en HttpSecurityFilter permite la suplantación de datos proporcionando un nombre de usuario al azar. Un atacante remoto podría realizar inyección de comandos en el sistema afectado.

Versiones afectadas de Apache Spark:

• Apache Spark versiones 3.0.3 y versiones anteriores.
• Apache Spark versiones 3.1.1 a 3.1.2.
• Apache Spark versiones 3.2.0 a 3.2.1.

Se recomienda acceder a la actualización en el siguiente enlace proporcionado por el proveedor:

• https://spark.apache.org/downloads.html
  

Referencias:

• https://securityonline.info/cve-2022-33891-apache-spark-shell-command-injection-vulnerability/
• https://nvd.nist.gov/vuln/detail/CVE-2022-33891
• https://spark.apache.org/downloads.html
• https://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlc