近日，我司监测到Apache发布安全公告，修复了一个存在于Linkis中的安全漏洞，该漏洞是当 Apache Linkis和MySQL Connector/J一起使用，且对数据库具有写入权限时，可以使用MySQL数据源和恶意参数配置JDBC EC导致反序列化漏洞，可能执行远程代码。

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦，提供标准化接口的中间件。

影响版本:

• Apache Linkis <=1.2.0

安全版本:

• Apache Linkis = 1.3.0

修复建议：

官方已经针对漏洞发布了版本更新，如无法升级版本可以单独升级JDBC EngineConn，下载地址如下：

• Apache Linkus： https://github.com/apache/incubator-linkis/releases/tag/1.3.0
• JDBC EngineConn：https://github.com/apache/incubator-linkis/tree/master/linkis-engineconn-plugins/jdbc