Apache Zeppelin 存在未授权的用户访问命令执行接口,导致了任意用户都可以执行恶意命令获取服务器权限
Apache Zeppelin
<a-button href="https://fofa.info/result?qbase64=aWNvbl9oYXNoPSI5NjAyNTAwNTIi">FOFA: icon_hash="960250052"</a-button>
</a-checkbox>
含有漏洞的页面如下
点击 创建一个匿名用户在用户页面执行命令即可
456 篇文章
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!