漏洞预警|Apache Linkis远程代码执行漏洞

棱镜七彩安全预警

近日网上有关于开源项目Apache Linkis远程代码执行漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦，提供标准化接口的中间件。

项目主页

Apache Linkis | Apache Linkis

代码托管地址

https://github.com/apache/incubator-linkis

CVE编号

CVE-2022-39944

漏洞情况

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦，提供标准化接口的中间件。

Apache Linkis 在1.2.0 及之前的版本中与 MySQL Connector/J 驱动程序一起使用时存在远程代码执行漏洞，对MySQL数据库具有写权限的攻击者可通过此漏洞恶意配置 JDBC EC（Engineconn），从而实现执行远程代码。

受影响的版本

org.apache.linkis:linkis-engineconn-plugins@[0.5.0, 1.3.0)

修复方案

升级org.apache.linkis:linkis-engineconn-plugins到 1.3.0 或更高版本

链接地址：

NVD - CVE-2022-39944

[Feature] [JDBC-Engine] Optimize JDBC parameter acquisition logic. (#… · apache/incubator-linkis@6bef239 · GitHub

oss-sec: CVE-2022-39944: The Apache Linkis JDBC EngineConn module has a RCE Vulnerability