Apache StreamPark 远程命令执行漏洞

• 漏洞编号：CVE-2023-49898
  
• 漏洞类型：远程命令执行(RCE)
• 漏洞等级：高危
• 发布时间：2023-12-19

漏洞描述：

Apache StreamPark 是一个流应用程序开发框架。StreamPark 提供了使用 Apache Flink 和 Apache Spark 编写流处理应用程序的开发框架，旨在简化流应用程序的构建和管理。同时，StreamPark 还是一个专业的流应用管理平台，包括应用开发、调试、交互查询、部署、运行、维护等。

Apache StreamPark发布安全公告，公开了一个远程命令执行漏洞，经过授权后的攻击者可以通过注入恶意参数在服务器上执行任意命令，漏洞编号：CVE-2023-49898，漏洞威胁等级：高危。

在streampark中，有一个项目模块集成了Maven的编译功能，用户可以配置相关编译参数，但应用缺乏相关安全校验导致攻击者可以注入恶意参数导致远程命令执行。

影响版本：

修复建议

官方已经发布了安全版本，如有受影响的用户建议立即更新到安全版本。

安全版本：Apache Streampark >= 2.1.2

官方下载地址：https://streampark.apache.org/zh-CN/download

参考链接:
https://lists.apache.org/thread/qj99c03r4td35f8gbxq084b8qmv2fyr3