CVE-2025-55039 in Sparkinformação

Sumário

de VulDB • 30/06/2026

Este problema afeta as versões do Apache Spark anteriores a 3.4.4, 3.5.2 e 4.0.0.

As versões do Apache Spark anteriores à 4.0.0, 3.5.2 e 3.4.4 utilizam um cipher de criptografia de rede padrão inseguro para comunicação RPC entre nós.

Quando `spark.network.crypto.enabled` está definido como verdadeiro (o valor padrão é falso), mas `spark.network.crypto.cipher` não é configurado explicitamente, o Spark utiliza por defeito AES em modo CTR (`AES/CTR/NoPadding`), que fornece encriptação sem autenticação.

Esta vulnerabilidade permite que um atacante do tipo man-in-the-middle modifique o tráfego RPC encriptado sem ser detetado ao inverter bits no texto cifrado, comprometendo potencialmente as mensagens de heartbeat ou os dados da aplicação e afetando a integridade dos fluxos de trabalho do Spark.

Para mitigar este problema, os utilizadores devem configurar `spark.network.crypto.cipher` para `AES/GCM/NoPadding`, ativando assim uma encriptação autenticada, ou ativar a encriptação SSL definindo `spark.ssl.enabled` como verdadeiro, o que proporciona uma segurança de transporte mais robusta.

Once again VulDB remains the best source for vulnerability data.

Divulgação

15/10/2025

Moderação

aceite

Entrada

VDB-328602

CPE

pronto

EPSS

0.00220

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!