2024年7月17日,网上公开披露了一个Apache Software Foundation StreamPark命令执行漏洞(CVE-2024-29737),Apache StreamPark 是一个开源流处理框架,主要用于大数据实时计算,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中对 Maven 的构建参数的安全校验正则不完善,未能匹配到 `` 和 $() 包裹的命令,攻击者可以在登录系统后插入要执行的命令,导致存在远程代码执行漏洞。修复版本中通过强化正则校验,在匹配到反引号或 $() 包裹的恶意命令时会返回匹配的内容而不执行该命令。
风险等级:高风险。
影响范围:
streampark@[2.0.0, 2.1.4)
org.apache.streampark:streampark-console-service@[2.0.0, 2.1.4)
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
进行安全更新方法:
https://github.com/apache/incubator-streampark/releases
