近日，Apache官网发布了Apache Flink存在目录遍历漏洞的风险通告，对应CVE编号：CVE-2020-17518/CVE-2020-17519。攻击者通过REST API目录遍历，可造成任意文件读取/写入的影响。目前，Apache已发布安全版本修复该漏洞，建议受影响用户及时将Flink升级至1.11.3或1.12.0版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

高危

Apache Flink是Apache基金会的一款开源的分布式流数据处理引擎。该产品主要使用Java和Scala语言编写。

CVE-2020-17518：该漏洞允许攻击者利用REST API，并通过精心构造的HTTP Header，实现远程文件写入。

CVE-2020-17519：该漏洞允许攻击者通过JobManager进程的REST接口读取本地文件系统上的任意文件。

CVE-2020-17518：Flink 1.5.1至1.11.2

CVE-2020-17519：Flink 1.11.0、1.11.1、1.11.2

Apache官方建议用户尽快将Flink版本升级至1.11.3或1.12.0版本。

下载地址：https://flink.apache.org/downloads.html

https://lists.apache.org/thread.html/rb43cd476419a48be89c1339b527a18116f23eec5b6df2b2acbfef261%40%3Cdev.flink.apache.org%3E

https://lists.apache.org/thread.html/r6843202556a6d0bce9607ebc02e303f68fc88e9038235598bde3b50d%40%3Cdev.flink.apache.org%3E