漏洞描述：

2021年2月7日，Apache官方公告了一个 Apache Ambari任意文件下载漏洞。Ambari 的鉴权模块存在设计缺陷，恶意用户可以绕过身份验证，进行目录遍历和下载任意文件。

Ambari是Apache软件基金会的一个项目，Ambari使系统管理员可以配置、管理和监视Hadoop集群，还可以将Hadoop与现有企业基础架构集成。

漏洞编号：

CVE-2020-13924

漏洞等级：中危

受影响的版本：

Apache Ambari <= 2.6.2.2

安全版本：

Apache Ambari > 2.6.2.2

腾讯安全网络空间测绘：

腾讯安全网络空间测绘结果显示，Apache Ambari组件分布于世界各地，美国（43.42%）、中国(25.47%)、俄罗斯(5.91%)位居前三。在中国大陆地区，北京、浙江、广东、上海四省市位居前列，合计占比超过80%。

腾讯安全网络空间测绘平台通过空间测绘技术，可针对该类漏洞进行监测与响应，如有需要可联系 es@tencent.com 了解产品详情。

漏洞修复建议：

腾讯安全专家建议受影响的用户升级到安全版本。

参考链接：

https://lists.apache.org/thread.html/rf3591e1e040ba26248ab8c8356ce01d2a6642cd4c26096561ee47766%40%3Cuser.ambari.apache.org%3E

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。