BDU:2025-05056

Опубликовано: 12 апр. 2025

Источник: fstec

CVSS3: 6.3

CVSS2: 5.8

EPSS Низкий

Описание

Уязвимость программной платформы обработки данных Apache SeaTunnel связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Apache Software Foundation

Наименование ПО

SeaTunnel

Версия ПО

до 2.3.11 (SeaTunnel)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/s2dw28t4p0q6t3k0qoqnm18t6pt04pyt

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-32896
CVE

EPSS

Процентиль: 38%

0.00169

Низкий

6.3 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

CVE-2025-32896

CVSS3: 6.5

nvd

8 месяцев назад

# Summary Unauthorized users can perform Arbitrary File Read and Deserialization attack by submit job using restful api-v1. # Details Unauthorized users can access `/hazelcast/rest/maps/submit-job` to submit job. An attacker can set extra params in mysql url to perform Arbitrary File Read and Deserialization attack. This issue affects Apache SeaTunnel: <=2.3.10 # Fixed Users are recommended to upgrade to version 2.3.11, and enable restful api-v2 & open https two-way authentication , which fixes the issue.

GHSA-9x53-gr7p-4qf5

github