• 漏洞编号：CVE-2024-29737
• 漏洞等级：严重
• 漏洞标签：发布预警、公开漏洞
• 发布时间：2024-07-17

漏洞描述

Apache StreamPark 是一个开源流处理框架，主要用于大数据实时计算。 受影响版本中对 Maven 的构建参数的安全校验正则不完善，未能匹配到 \`\` 和 $\(\) 包裹的命令，攻击者可以在登录系统后插入要执行的命令，导致存在远程代码执行漏洞。 修复版本中通过强化正则校验，在匹配到反引号或 $\(\) 包裹的恶意命令时会返回匹配的内容而不执行该命令。

修复建议

1. 将组件 streampark 升级至 2.1.4 及以上版本 2. 将组件 org.apache.streampark:streampark-console-service 升级至 2.1.4 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-ebfc-w64o

https://github.com/apache/incubator-streampark/pull/3644/commits/c2178d70cdb9b16d67ffb0f85648f857bd1d6346

https://nvd.nist.gov/vuln/detail/CVE-2024-29737

https://www.oscs1024.com/hd/MPS-ebfc-w64o