在 ApacheSpark 2.4.5 和更舊版本中，獨立資源管理員的主機可能被設定為需要透過共用密碼進行身分驗證 (spark.authenticate)。但是，當啟用此設定時，即使沒有共用金鑰，傳送至主機的特製 RPC 也可以成功啟動應用程式的資源。攻擊者可利用此弱點在主機上執行 shell 命令。使用其他資源管理員 (YARN、Mesos 等) 的 Spark 叢集不受影響。 

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Apache Spark < 2.4.6 RCE (CVE-2020-9480)

critical Nessus Plugin ID 172445

版本 1.4