CVE-2025-32896

Опубликовано: 19 июн. 2025

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

Summary

Unauthorized users can perform Arbitrary File Read and Deserialization attack by submit job using restful api-v1.

Details

Unauthorized users can access /hazelcast/rest/maps/submit-job to submit job. An attacker can set extra params in mysql url to perform Arbitrary File Read and Deserialization attack.

This issue affects Apache SeaTunnel: <=2.3.10

Fixed

Users are recommended to upgrade to version 2.3.11, and enable restful api-v2 & open https two-way authentication , which fixes the issue.

Ссылки

https://github.com/apache/seatunnel/pull/9010
Issue Tracking
Patch
https://lists.apache.org/thread/qvh3zyt1jr25rgvw955rb8qjrnbxfro9
Mailing List
Vendor Advisory
http://www.openwall.com/lists/oss-security/2025/04/12/1
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:seatunnel:*:*:*:*:*:*:*:*

Версия от 2.3.1 (включая) до 2.3.11 (исключая)

EPSS

Процентиль: 38%

0.00169

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-306

Связанные уязвимости

GHSA-9x53-gr7p-4qf5

github

8 месяцев назад

Apache SeaTunnel: Unauthenticated insecure access

BDU:2025-05056

CVSS3: 6.3

fstec

10 месяцев назад

Уязвимость программной платформы обработки данных Apache SeaTunnel, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации