Apache StreamPark Maven 构建参数命令注入漏洞
漏洞描述 Apache StreamPark 是一个开源流处理框架,主要用于大数据实时计算。 受影响版本中对 Maven 的构建参数的安全校验正则不完善,未能匹配到 `` 和 $() 包裹的命令,攻击者可以在登录系统后插入要执行的命令,导致存在远程代码执行漏洞。 修复版本中通过强化正则校验,在匹配到反引号或 $() 包裹的恶意命令时会返回匹配的内容而不执行该命令。 漏洞名称 Apache StreamPark Maven 构建参数命令注入漏洞 漏洞类型 命令注入 发现时间 2024-07-17 漏洞影响广度 - MPS编号 MPS-ebfc-w64o CVE编号 CVE-2024-29737 CNVD编号 - 影响范围 streampark@[2.0.0, 2.1.4) org.apache.streampark:streampark-console-service@[2.0.0, 2.1.4) 修复方案 将组件 streampark 升级至 2.1.4 及以上版本 将组件 org.apache.streampark:streampark-console-service 升级至 2.1...
