1.产品描述：

Apache Spark是一个开源集群运算框架，最初是由加州大学柏克莱分校AMPLab所开发。相对于Hadoop的MapReduce会在执行完工作后将中介资料存放到磁盘中，Spark使用了存储器内运算技术，能在资料尚未写入硬盘时即在存储器内分析运算。

2.影响产品或组件及版本：

Apache Spark <= 3.2.1

Apache Spark 3.3.0

3.受影响资产情况：

通过资产测绘系统fofa发现，全球共6210个使用记录，其中第一名爱尔兰1944个，第二名美国1837个，第三名中国1244个

4.技术细节表述：

Apache Spark 3.2.1和更早的版本以及3.3.0中存在一个存储的跨站脚本（XSS）漏洞，允许远程攻击者在用户的Web浏览器中执行任意的Javascript，方法是将恶意的有效载荷纳入日志中，在UI中渲染的日志中返回。

5.修补措施：

厂商已发布了漏洞修复程序，安全版本：Apache Spark维护版本3.2.2，或3.3.1或更高版本

最新版官方下载链接：https://spark.apache.org/downloads.HTML

6.漏洞来源：

https://vip.riskivy.com/detail/1587507067571277824

注：该漏洞已有CVE漏洞编号，暂无CNNVD漏洞编号