【漏洞预警】Apache SeaTunnel Web 身份验证漏洞(CVE-2023-48396)

admin
admin
admin
138858
文章
114
评论
2024年8月1日10:42:39评论62 views字数 810阅读2分42秒阅读模式

预警公告 高危

近日,安全聚实验室监测到 Apache SeaTunnel 中的Web存在身份验证漏洞,编号为:CVE-2023-48396,漏洞评分:8.2  此漏洞由于 jwt 密钥在应用程序中是硬编码,攻击者可以伪造任何令牌来登录任何用户。

01

漏洞描述

Apache SeaTunnel 是一款下一代高性能、分布式、大规模数据集成工具,其特点包括丰富且可扩展的连接器,提供了独立于特定执行引擎的连接器API,使用户能轻松开发并集成自定义连接器至SeaTunnel项目中。此工具支持多种场景,包括离线、实时、全量、增量、CDC以及整库同步等数据集成需求,同时具备DDL变更、动态加表等特性。SeaTunnel在资源管理方面表现出色,优化了内存和CPU的消耗,设计了多表同步机制,并实现了JDBC资源共享,为用户提供高效、稳定的数据集成体验。由于 jwt 密钥在应用程序中是硬编码,攻击者可以在/seatunnel-server/seatunnel-app/src/main/resources/application.yml中获取密钥,可以伪造任何令牌来登录任何用户。

02

影响范围


Apache SeaTunnel 1.0.0

03

安全措施

目前厂商已发布可更新版本,建议用户尽快更新至 Apache SeaTunnel 的修复版本或更高的版本:

Apache SeaTunnel >= 1.0.1

下载链接:
https://github.com/apache/seatunnel-web/releases/tag/1.0.1

04

参考链接


1.https://lists.apache.org/thread/1tdxfjksx0vb9gtyt77wlr6rdcy1qwmw

05

技术支持

长按识别二维码,关注“安全聚”公众号,联系我们的团队技术支持。

【漏洞预警】Apache SeaTunnel Web 身份验证漏洞(CVE-2023-48396)

原文始发于微信公众号(安全聚):【漏洞预警】Apache SeaTunnel Web 身份验证漏洞(CVE-2023-48396)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月1日10:42:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache SeaTunnel Web 身份验证漏洞(CVE-2023-48396)https://cn-sec.com/archives/3021087.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息