漏洞描述:
2021年2月7日,Apache官方公告了一个 Apache Ambari任意文件下载漏洞。Ambari 的鉴权模块存在设计缺陷,恶意用户可以绕过身份验证,进行目录遍历和下载任意文件。
Ambari是Apache软件基金会的一个项目,Ambari使系统管理员可以配置、管理和监视Hadoop集群,还可以将Hadoop与现有企业基础架构集成。
漏洞编号:
CVE-2020-13924
漏洞等级:中危
受影响的版本:
Apache Ambari <= 2.6.2.2
安全版本:
Apache Ambari > 2.6.2.2
腾讯安全网络空间测绘:
腾讯安全网络空间测绘结果显示,Apache Ambari组件分布于世界各地,美国(43.42%)、中国(25.47%)、俄罗斯(5.91%)位居前三。在中国大陆地区,北京、浙江、广东、上海四省市位居前列,合计占比超过80%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。
漏洞修复建议:
腾讯安全专家建议受影响的用户升级到安全版本。
参考链接:
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。