Apache Spark 命令注入漏洞预警

发布时间：2025-12-07 15:57:57

尊敬的用户：

您好！近日，Apache Spark官方发布安全公告，披露在Apache Spark特定版本中存在一处命令注入漏洞（CVE-2022-33891）。Apache Spark UI具有ACL机制，当开启ACL后，攻击者可利用漏洞冒充任意用户进行任意命令注入并执行。

【漏洞评级】

高风险

【漏洞描述】

CVE-2022-33891

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎，是UC Berkeley AMP lab （加州大学伯克利分校的AMP实验室）所开源的类Hadoop MapReduce的通用并行框架。

Apache Spark UI 中可通过配置选项 spark.acls.enable 启用 ACL 。这些身份验证过滤器会检查用户是否具有查看或修改应用程序的访问权限。如果启用ACL，则 HttpSecurityFilter 中的代码路径可允许攻击者冒充任意用户。该功能可根据他们的输入创建一个 Unix shell 命令并执行，最终导致执行任意命令。

【影响范围】

Apache Spark =< 3.0.3

Apache Spark 3.1.1 - 3.1.2

Apache Spark 3.2.0 - 3.2.1

【修复方案】

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/apache/spark/tags

【参考链接】

https://spark.apache.org/security.html