CVE-2025-54920Apache Spark 3.5.4及更早版本存在严重的安全漏洞,攻击者可通过Spark历史服务器的Web UI利用过于宽松的Jackson反序列化机制执行任意代码。攻击者只需获得Spark事件日志目录的写权限,即可注入恶意JSON payload,触发反序列化任意类,最终在运行Spark历史服务器的主机上执行系统命令。此漏洞已被编号为CVE-2025-54920,CVSS评分高达8.8,属于高危漏洞。
漏洞源于Spark历史服务器使用Jackson多态反序列化处理SparkListenerEvent对象时采用了@JsonTypeInfo.Id.CLASS配置,该配置允许在事件JSON中指定任意类名。攻击者可通过在Spark事件日志文件中注入精心构造的JSON内容,强制历史服务器在启动或加载事件日志时反序列化指定类(如org.apache.hive.jdbc.HiveConnection),从而在反序列化过程中执行网络调用或其他恶意操作,实现远程代码执行。具体利用方式是在事件日志文件开头注入包含目标类名的JSON对象,设置JDBC连接等参数,触发服务器向攻击者控制的服务器发起连接请求。
暂无PoC代码
暂无版本信息