在广泛使用的分布式数据集成平台 Apache SeaTunnel 中,新披露的编号为 CVE-2025-32896 的漏洞,可能使未经身份验证的攻击者能够读取任意文件,并发起基于反序列化的攻击。
SeaTunnel 是下一代高性能数据集成引擎,用于在不同环境间同步海量数据。由于它受到大型组织的信赖和广泛采用,这一漏洞尤为危险。
该漏洞源于对一个遗留 REST API 端点的未认证访问:
/hazelcast/rest/maps/submit – job
攻击者可以利用这一点,通过使用 restful api-v1 向 SeaTunnel 提交作业,将恶意参数注入 MySQL 连接 URL。这可能导致:
1.从服务器文件系统读取任意文件。
2.通过不安全的 Java 对象反序列化执行远程代码。
Openwall 披露信息显示:“未经授权的用户可以通过使用 restful api – v1 提交作业来执行任意文件读取和反序列化攻击。”
由于该端点未强制进行身份验证,这为攻击者执行恶意有效载荷并访问敏感后端资源提供了便利途径。
此问题已在 Apache SeaTunnel 2.3.11 版本中得到修复。建议用户采取以下措施:
1.升级到 2.3.11 或更高版本。
2.启用 RESTful API v2 而非 v1。
3.为所有 SeaTunnel 节点启用 HTTPS 双向认证。
该修复是通过拉取请求 #9010 实现的,此请求更新了访问控制逻辑并保障了 API 端点的安全。
发表评论
您还未登录,请先登录。
登录