漏洞类型:CRLF注入
风险等级:中危
MPS编号:MPS-2021-32843
发现时间:2022/10/24
CVE编号: CVE-2021-42010
漏洞影响广度:小
CNVD编号:-
漏洞描述:
Apache Heron是Twitter开发的分布式流处理引擎。
在Apache Heron <0.20.5-incubating 版本中由于日志语句中缺少转义导致存在CRLF日志注入漏洞,攻击者可利用此漏洞伪造日志。
影响范围:
org.apache.heron:heron-api@[0.20.1-incubating-rc1, 0.20.5-incubating)
修复方案:
升级org.apache.heron:heron-api到 0.20.5-incubating 或更高版本
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2021-42010
https://seclists.org/oss-sec/2022/q4/37
https://github.com/apache/incubator-heron/pull/3749/commits/143768b23d8ecc24a04bf5686e9933fa180e4cbf
