1.漏洞概述

监测到Apache StreamPark 任意帐户密码重置漏洞，CVE编号：CVE-2022-46365，漏洞威胁等级：高危。

2.漏洞详情

Apache StreamPark 是一个提供流数据处理和架构解决方案的开源项目。

Apache StreamPark 2.0.0-incubating 之前版本中存在权限管理错误，源于 UserController#updatePassword 方法在用户修改密码时未对旧密码进行验证，攻击者在得知用户名的情况下可通过 /password api接口发送POST请求重置任意账户的密码。

3.影响版本

1.0.0<=org.apache.streampark:streampark<2.0.0-incubating

4.处置建议

升级org.apache.streampark:streampark到 2.0.0-incubating 或更高版本

https://github.com/apache/incubator-streampark/commit/4f39d7f422d7519a3febc2d15d31ed0126d54fbc

临时防护方案：

禁用 HTTP/HTTPS 管理接口或限制可以访问管理接口的 IP 地址。

中共烟台市委网络安全和信息化

                      委员会办公室

2023年4月7日