1.漏洞概述
监测到Apache StreamPark 任意帐户密码重置漏洞,CVE编号:CVE-2022-46365,漏洞威胁等级:高危。
2.漏洞详情
Apache StreamPark 是一个提供流数据处理和架构解决方案的开源项目。
Apache StreamPark 2.0.0-incubating 之前版本中存在权限管理错误,源于 UserController#updatePassword 方法在用户修改密码时未对旧密码进行验证,攻击者在得知用户名的情况下可通过 /password api接口发送POST请求重置任意账户的密码。
3.影响版本
1.0.0<=org.apache.streampark:streampark<2.0.0-incubating
4.处置建议
升级org.apache.streampark:streampark到 2.0.0-incubating 或更高版本
https://github.com/apache/incubator-streampark/commit/4f39d7f422d7519a3febc2d15d31ed0126d54fbc
临时防护方案:
禁用 HTTP/HTTPS 管理接口或限制可以访问管理接口的 IP 地址。
中共烟台市委网络安全和信息化
委员会办公室
2023年4月7日