Spark 存在 shell 命令注入

3月24日，墨菲安全实验室情报预警监控发现 spark 提交[修复 shell 命令注入的代码]，当上传文件名可以被攻击者控制时，就可以构造恶意文件名造成远程任意命令执行。