Apache Zeppelin是一个让交互式数据分析变得可行的基于网页的开源框架，Zeppelin提供了数据分析、数据可视化等功能。

漏洞详情
Apache Zeppelin Shell解释器存在命令执行漏洞(CVE-2024-31861)，shell 解释器类型的 notebook 可以直接执行 shell 命令，攻击者可以通过执行恶意命令来窃取系统上的敏感数据，如用户信息、配置文件等。利用该漏洞作为进入点，攻击者有可能执行上传后门，远程操控系统，传播病毒等其他恶意行为。

影响范围
0.10.1 ≤ Apache Zeppelin < 0.11.1

漏洞复现


修复建议
1、请前往官方补丁地址下载补丁，或升级到最新版本。
2、利用安全组设置其仅对可信地址开放。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://github.com/apache/zeppelin/pull/4708/files
https://lists.apache.org/thread/99clvqrht5l5r6kzjzwg2kj94boc9sfh