CVE-2025-60012 in Livyالمعلومات

الملخص

بحسب VulDB • 28/05/2026

يمكن أن يؤدي التكوين الخبيث إلى وصول غير مصرح به إلى الملفات في Apache Livy.

تؤثر هذه المشكلة في Apache Livy الإصدارين 0.7.0 و 0.8.0 عند الاتصال بـ Apache Spark 3.1 أو أحدث.

يمكن أن يؤدي الطلب الذي يتضمن قيمة تكوين Spark المدعومة من إصدار Apache Spark 3.1 إلى منح المستخدمين إمكانية الوصول إلى الملفات التي لا يملكون أذونات للوصول إليها.

ولاستغلال الثغرة الأمنية، يحتاج المستخدم إلى امتلاك وصول إلى واجهة REST أو JDBC الخاصة بـ Apache Livy، والقدرة على إرسال طلبات تحتوي على قيم تكوين Spark تعسفية.

يُنصح المستخدمين بالترقية إلى الإصدار 0.9.0 أو أحدث، الذي يصلح هذه المشكلة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

إفشاء

13/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-350733

CPE

جاهز

CWE

CWE-20 (مؤكد)

CVSS

6.3 (CISA-ADP)

EPSS

0.00091

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-60012
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-60012
CVE Details	https://www.cvedetails.com/cve/CVE-2025-60012/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!