Неправильное ограничение пути к ограниченному каталогу («Обход пути») в Apache Livy. Эта проблема затрагивает Apache Livy: с версии 0.3.0 до 0.9.0. Эту уязвимость можно использовать только с настройками Apache Livy Server, отличными от стандартных.
Если для значения конфигурации «livy.file.local-dir-whitelist» установлено значение, отличное от значения по умолчанию, проверку каталога можно обойти. Пользователям рекомендуется выполнить обновление до версии 0.9.0, которая устраняет проблему.
Показать оригинальное описание (EN)
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Apache Livy. This issue affects Apache Livy: from 0.3.0 before 0.9.0. The vulnerability can only be exploited with non-default Apache Livy Server settings. If the configuration value "livy.file.local-dir-whitelist" is set to a non-default value, the directory checking can be bypassed. Users are recommended to upgrade to version 0.9.0, which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Livy
cpe:2.3:a:apache:livy:*:*:*:*:*:*:*:*
|
0.3.0
|
0.9.0
|