V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides

Org.apache.streampark

Уязвимости
9
Эксплуатируемые
0
Критический
2
Высокий
3

Топ продуктов

Streampark-console-service6Streampark4Streampark-console-webapp3

Топ уязвимостей

CVE-2025-54947В версиях Apache StreamPark 2.0.0 до 2.1.7 существует уязвимость безопасности, связанная с жесткий ключ шифрования. Эта уязвимость возникает потому, что система использует фиксированный, неизменяемый ключ для шифрования вместо динамической генерации или надежной настройки ключа. Нападающие могут получить этот ключ с помощью обратного инжиниринга или анализа кода, потенциального расшифровки конфиденциальных данных или подделки зашифрованной информации, что приводит к раскрытию информации или несанкционированному доступу к системе. Этот вопрос затрагивает Apache StreamPark: от 2.0.0 до 2.1.7. Пользователям рекомендуется обновиться до версии 2.1.7, что устраняет проблему.
CVE-2024-29070В версиях до 2.1.4 сеанс не аннулируется после выхода из системы. Когда пользователь успешно входит в систему, серверная служба возвращает «Authorization» в качестве учетных данных аутентификации интерфейса. «Authorization» по-прежнему может инициировать запросы и получать доступ к данным даже после выхода из системы. Решение: всем пользователям следует обновиться до версии 2.1.4.
CVE-2023-52290В streampark-console на страницах списков (например, на страницах приложений) пользователи могут сортировать страницы по полю. Это поле сортировки отправляется из внешнего интерфейса во внутренний, и запрос SQL генерируется с использованием этого поля. Однако, поскольку это поле сортировки не проверяется, существует риск уязвимости SQL-инъекции. Злоумышленник должен успешно войти в систему, чтобы начать атаку, которая может привести к утечке данных. Поскольку никакие данные не будут записаны, это уязвимость с низким уровнем воздействия. Меры по смягчению последствий: всем пользователям следует обновиться до версии 2.1.4, такие параметры будут заблокированы.
CVE-2025-54981Слабый алгоритм шифрования в StreamPark, использование шифра AES в режиме ЕЦБ и слабый генератор случайных чисел для шифрования конфиденциальных данных, включая токены JWT, возможно, рисковали разоблачить конфиденциальные данные аутентификации Этот выпуск затрагивает Apache StreamPark: от 2.0.0 до 2.1.7. Пользователям рекомендуется обновиться до версии 2.1.7, которая устраняет проблему.
CVE-2025-30001Неправильная уязвимость Execution-Устанавливаемая разрешения в Apache StreamPark. Эта проблема затрагивает Apache StreamPark: от 2.1.4 до 2.1.6. Пользователям рекомендуется обновиться до версии 2.1.6, которая устраняет проблему.
CVE-2025-53960При выпуске JSON Web Tokens (JWT) Apache StreamPark напрямую использует пароль пользователя в качестве ключей подписи HMAC (например, с алгоритмом HS256). Злоумышленник может использовать эту уязвимость для выполнения офлайн-атаков грубой силы на пароль пользователя с использованием захваченного JWT или для произвольного поддельного токенов идентификации для пользователя, если пароль уже известен, что в конечном итоге приводит к полному захвату учетной записи. Этот вопрос затрагивает Apache StreamPark: от 2.0.0 до 2.1.7. Пользователям рекомендуется обновиться до версии 2.1.7, которая устраняет проблему.
CVE-2024-29120В Streampark (версия < 2.1.4), когда пользователь успешно вошел в систему, служба Backend возвращала "Authorization" в качестве учетных данных для аутентификации на фронтенде. Пользователь может использовать эти учетные данные для запроса информации о других пользователях, включая имя пользователя администратора, пароль, значение соли и т. д. Смягчение: всем пользователям следует обновиться до 2.1.4.
CVE-2024-29737В streampark модуль проекта интегрирует возможности компиляции Maven. Проверка входных параметров нестрога, что позволяет злоумышленникам вставлять команды для удаленного выполнения команд. Предварительное условие для успешной атаки — пользователю необходимо войти в систему streampark и иметь уровень системных прав. Обычно только пользователи этой системы имеют право на вход, и пользователи не вводят вручную опасные команды операции. Поэтому уровень риска этой уязвимости очень низкий. Меры по снижению: всем пользователям следует обновиться до 2.1.4 Справочная информация: Войдите в Streampark с использованием имени пользователя по умолчанию (например, test1, test2, test3) и пароля по умолчанию (streampark). Перейдите в модуль проекта, затем добавьте новый проект. Введите адрес репозитория git проекта и введите `touch /tmp/success_2.1.2` в качестве "Аргумента сборки". Обратите внимание, что специальный символ "`" не проверяется и не перехватывается. В результате вы обнаружите, что эта команда инъекции будет успешно выполнена после активации сборки. В последней версии специальный символ ` перехватывается.
CVE-2023-52291В streampark модуль проекта интегрирует возможности компиляции Maven. Проверка входных параметров не является строгой, что позволяет злоумышленникам вставлять команды для удаленного выполнения команд. Предварительным условием успешной атаки является необходимость того, чтобы пользователь вошел в систему streampark и имел права на уровне системы. Как правило, только пользователи этой системы имеют разрешение на вход, и пользователи не будут вручную вводить опасную команду операции. Поэтому уровень риска этой уязвимости очень низкий. Фон: В модуле "Проект" аргументы сборки maven “<” оператор вызывает инъекцию команд. например: “< (curl http://xxx.com )” будет выполнен как инъекция команд, Смягчение: всем пользователям следует обновиться до 2.1.4, оператор "<" будет заблокирован.
Открыть в каталоге с фильтром по вендору →