Apache Spark 存在日志注入漏洞 · CVE-2022-31777
漏洞等级:中等严重性 此漏洞已由 GitHub 安全团队审核,并于 2022年11月1日 发布至 GitHub 安全公告数据库,最近更新于 2025年12月18日。
漏洞详情
受影响的软件包:
| 包管理器 | 包名称 | 受影响版本 | 已修复版本 |
|---|---|---|---|
| Maven | org.apache.spark:spark-core_2.10 |
< 3.2.2 |
无 |
| Maven | org.apache.spark:spark-core_2.11 |
< 3.2.2 |
无 |
| Maven | org.apache.spark:spark-core_2.12 |
< 3.2.2, = 3.3.0 |
3.2.2, 3.3.1 |
| Maven | org.apache.spark:spark-core_2.13 |
< 3.2.2, = 3.3.0 |
3.2.2, 3.3.1 |
| Maven | org.apache.spark:spark-core_2.9.3 |
< 3.2.2 |
无 |
| pip | pyspark |
< 3.2.2, = 3.3.0 |
3.2.2, 3.3.1 |
漏洞描述
Apache Spark 3.2.1 及更早版本,以及 3.3.0 版本中,存在一个存储型跨站脚本漏洞。远程攻击者可以通过在日志中包含恶意负载,当这些日志在用户界面中渲染时,将在用户的 Web 浏览器中执行任意 JavaScript 代码。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2022-31777
- https://lists.apache.org/thread/60mgbswq2lsmrxykfxpqq13ztkm2ht6q
- apache/spark@ad90195
- https://github.com/pypa/advisory-database/tree/main/vulns/pyspark/PYSEC-2022-42976.yaml
- http://www.openwall.com/lists/oss-security/2022/11/01/14
安全评分与详情
CVSS 总体评分:5.4(中等)
此评分基于通用漏洞评分系统,范围从 0 到 10。
CVSS v3 基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 需要
- 影响范围: 已更改
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 无
CVSS 向量字符串: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
EPSS 分数:0.126% 此分数估计了该漏洞在未来30天内被利用的概率,数据由 FIRST 提供(处于第33百分位)。
弱点分析
CWE-74:输出给下游组件使用的特殊元素中和不当(注入) 该产品使用来自上游组件的外部影响输入来构建命令、数据结构或记录的全部或部分,但在将其发送到下游组件时,未能中和或错误地中和了可能修改其解析或解释方式的特殊元素。
标识符
- CVE ID: CVE-2022-31777
- GHSA ID: GHSA-43xg-8wmj-cw8h
源代码
- apache/spark
致谢
- 分析师: kurt-r2c