当前位置：首页 > news >正文

CVE-2023-49898 Apache incubator-streampark 远程命令执行漏洞

news 2025/7/7 1:25:52

项目介绍

Apache Flink 和 Apache Spark 被广泛用作下一代大数据流计算引擎。基于大量优秀经验结合最佳实践，我们将任务部署和运行时参数提取到配置文件中。这样，带有开箱即用连接器的易于使用的 RuntimeContext 将带来更轻松、更高效的任务开发体验。它降低了学习成本和开发障碍，因此开发人员可以专注于业务逻辑。另一方面，如果在部署阶段没有专业的Flink & Spark任务管理平台，企业使用Flink & Spark也是一个挑战。StreamPark提供了这样一个专业的任务管理平台，包括任务开发、调度、交互式查询、部署、运行。

项目地址

https://github.com/apache/incubator-streampark.git
https://streampark.apache.org/

漏洞概述

在streampark中，项目模块集成了Maven的编译功能。但是没有检查Maven的编译参数。允许攻击者插入命令进行远程命令执行。

影响版本

2.0.0 before 2.1.2

漏洞分析

该项目最重要的功能就是对stream和flink的快速部署开发，允许用户新建 project 并使用maven编译运行。而且允许自定义Maven settings.xml的路径。

通过分析源码可知，该项目对于构建 "project" 是使用命令拼接方式。

上图中的方法主要作用是生成 mvn 命令，它可以处理 Maven 未安装、Maven Wrapper 存在但无法打开等情况。这个命令用于清理项目、打包项目，并跳过测试。

最重要的是如果有额外的构建参数或者指定了 Maven 的 settings 文件，它会添加并执行这些参数。方法会添加 --settings 参数和 settings 文件的路径。

那么我们需要重点关注的判断如下：

这个方法的主要作用是获取配置项的值。它首先从 confData 中获取，如果没有，就从系统属性中获取，如果还没有，就返回默认值。

下面这个 InternalOption 对象的主要作用是定义了一个配置项，用来表示 Maven 的 settings.xml 文件的完整路径。在获取配置项的值时，如果配置数据中没有这个配置项的值，将会使用默认值 null。

通过上面的函数分析，可以发现项目对用户传入的 setting.xml 的路径并未进行效验，且会直接拼接到 cmdBuffer 来当做命令执行。

随后当用户编译运行项目是，会直接调用 projectBuild 函数；projectBuild方法并不会进行校验，直接调用 CommandUtils.execute()

上面的代码定义了一个名为 CommandUtils 的对象，它提供了两个方法用于执行命令行命令：

execute(command: String): (Int, String)

execute(directory: String, commands: JavaIterable[String], consumer: Consumer[String]): Int

execute(command: String): (Int, String) 方法接受一个字符串类型的命令，执行这个命令，并返回一个元组

execute(directory: String, commands: JavaIterable[String], consumer: Consumer[String]): Int 方法接受一个目录、一个命令列表和一个Consumer。它在指定的目录下执行命令列表中的命令，并使用Consumer处理命令的输出(实际为fileLogger.info)

最后会调用 waitFor 函数来等待上面执行命令的进程结束，返回进程的退出码。在进程结束后，它关闭进程的错误流、输入流和输出流，并销毁进程。

两个execute分别用到了 Runtime.getRuntime.exec 和 ProcessBuilder.start，这两个是Java安全中常见的用于命令执行的敏感函数；虽然execute 方法。虽然它处理了命令的输出和错误，并且做到即使接触进程；但是通过持久化可以完成规避，实现远程命令执行。

通过上述分析，利用步骤很清晰了。攻击者需要在 mvn settings.xml 路径插入恶意代码；随后直接执行任意项目的编译命令或者等待开发者自己执行正常的项目编译命令即可。

漏洞分析

升级到最新版本，2.1.2 之后。

参考链接

https://streampark.incubator.apache.org
https://www.cve.org/CVERecord?id=CVE-2023-49898

CVE-2023-49898 Apache incubator-streampark 远程命令执行漏洞

项目介绍

项目地址

漏洞概述

影响版本

漏洞分析

漏洞分析

参考链接

相关文章：

CVE-2023-49898 Apache incubator-streampark 远程命令执行漏洞

即将来临的2024年，汽车战场再起波澜？

Python 爬虫之下载视频（二）

智能优化算法应用：基于原子轨道搜索算法3D无线传感器网络(WSN)覆盖优化 - 附代码

[机器人-2]：开源MIT Min cheetah机械狗设计(二)：机械结构设计

用友U8+CRM help2 任意文件读取漏洞复现

freeRTOS实时操作系统学习笔记

解决虚拟机卡顿、卡死、待机后不动的情况（真实有效

【MybatisPlus快速入门】(3)SpringBoot整合MybatisPlus 之 Lombok插件安装及MybatisPlus分页代码示例

SpaceDesk如何连接平板/PC（生产力副屏）

61.SVN版本控制系统

操作系统内存管理篇

深度学习中用来训练的train.py 探究学习2.0（数据预处理）

vscode debug c++代码

HarmonyOS的功能及场景应用

汽车级EEPROM 存储器 M24C64-DRMN3TP/K是电可擦除可编程只读存储器?它的功能特性有哪些?

VS Code无法远程ubuntu

大数据开发职业规划

XxIJob入门-示例

单挑力扣（LeetCode）SQL题：1549. 每件商品的最新订单（难度：中等）

【Axure高保真原型】引导弹窗

iOS 26 携众系统重磅更新，但“苹果智能”仍与国行无缘

LeetCode - 394. 字符串解码

系统设计 --- MongoDB亿级数据查询优化策略

2.Vue编写一个app

1.3 VSCode安装与环境配置

[Java恶补day16] 238.除自身以外数组的乘积

C++ Visual Studio 2017厂商给的源码没有.sln文件易兆微芯片下载工具加开机动画下载。

VM虚拟机网络配置（ubuntu24桥接模式）：配置静态IP

NXP S32K146 T-Box 携手 SD NAND（贴片式TF卡）：驱动汽车智能革新的黄金组合