5月23日美國網路安全暨基礎設施安全局(CISA)將開源資料處理框架Apache Flink漏洞CVE-2020-17519,列入已被利用的漏洞名單(KEV),並要求聯邦機構於6月13日前完成修補。
這項漏洞源自於1.11.0版Flink導入的變更,攻擊者可藉由JobManager處理程序的REST介面,在本機的檔案系統讀取任意檔案,CVSS風險評為7.5分,IT人員應升級1.11.3或1.12.0以上的版本來緩解漏洞。
雖然CISA並未透露有關漏洞被利用的相關細節,無從得知攻擊者的身分及目的,但值得留意的是,Apache基金會於2021年1月公告、修補這項漏洞,相關資訊已被公布超過3年,也有研究人員公布概念性驗證的攻擊程式碼,這代表攻擊者相關利用漏洞不需自行從頭研究,後續可能有更多攻擊者加入嘗試利用漏洞的行列。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03
Advertisement