Apache Flink 未授权访问+远程代码执行
作者:Taoing
前言
近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞,影响范围:
<= 1.9.1﴾最新版本﴿
此次复现就是通过版本Version: 1.10.1进行复现利用。
FOFA
1 FOFA语句
2 app="Apache‐Flink"&&country="CN"
3 app="Apache‐Flink"&&country="CN"&®ion="HK"
国内还是很多使用 Apache Flink 的,大概有1K+的数量左右
漏洞复现