Apache StreamPark 远程命令执行漏洞

预警通告

1. 漏洞概述

Apache StreamPark 远程命令执行漏洞，漏洞威胁等级：高危。

2. 漏洞详情

Apache StreamPark 是一个流应用程序开发框架。StreamPark 提供了使用 Apache Flink 和 Apache Spark 编写流处理应用程序的开发框架，旨在简化流应用程序的构建和管理。同时，StreamPark 还是一个专业的流应用管理平台，包括应用开发、调试、交互查询、部署、运行、维护等。

在streampark中，有一个项目模块集成了Maven的编译功能，用户可以配置相关编译参数，但应用缺乏相关安全校验导致攻击者可以注入恶意参数导致远程命令执行。

3. 影响版本

2.0.0<=Apache StreamPark<2.1.2

4. 处置建议

1. 官方已经发布了安全版本，如有受影响的用户建议立即更新到安全版本。

安全版本：Apache Streampark >= 2.1.2

官方下载地址：https://streampark.apache.org/zh-CN/download

2. 临时防护方案：

禁用 HTTP/HTTPS 管理接口或限制可以访问管理接口的 IP 地址。