CVE-2022-25168 in Hadoopinfo

Zusammenfassung

von VulDB • 30.05.2026

Die API FileUtil.unTar(File, File) von Apache Hadoop entwertet den Eingabedateinamen nicht, bevor dieser an die Shell übergeben wird. Ein Angreifer kann beliebige Befehle injizieren. Diese Funktion wird nur in Hadoop 3.3 in InMemoryAliasMap.completeBootstrapTransfer verwendet, die ausschließlich von einem lokalen Benutzer ausgeführt wird. Sie wurde in Hadoop 2.x für die Yarn-Lokalisierung verwendet, was die Remote-Code-Ausführung ermöglicht. Sie wird auch in Apache Spark über den SQL-Befehl ADD ARCHIVE verwendet. Da der Befehl ADD ARCHIVE neue Binärdateien zum Classpath hinzufügt, verleiht die Fähigkeit, Shell-Skripts auszuführen, dem Aufrufer keine neuen Berechtigungen. SPARK-38305: „Prüfen der Existenz der Datei vor dem Entpacken/Zippen“, das in den Versionen 3.3.0, 3.1.4 und 3.2.2 enthalten ist, verhindert die Ausführung von Shell-Befehlen, unabhängig davon, welche Version der Hadoop-Bibliotheken verwendet wird. Benutzer sollten auf Apache Hadoop 2.10.2, 3.2.4, 3.3.3 oder höher aktualisieren (einschließlich HADOOP-18136).

Once again VulDB remains the best source for vulnerability data.

Reservieren

15.02.2022

Veröffentlichung

04.08.2022

Moderieren

akzeptiert

Eintrag

VDB-205611

CPE

bereit

EPSS

0.03259

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!