【漏洞预警】Apache SeaTunnel Web 身份验证漏洞（CVE-2023-48396）

原创 聚焦网络安全情报 安全聚 2024-07-31 21:01

预警公告 高危

近日，安全聚实验室监测到 Apache SeaTunnel 中的Web存在身份验证漏洞，编号为：CVE-2023-48396，漏洞评分：8.2  此漏洞由于 jwt 密钥在应用程序中是硬编码，攻击者可以伪造任何令牌来登录任何用户。

01

漏洞描述

Apache SeaTunnel 是一款下一代高性能、分布式、大规模数据集成工具，其特点包括丰富且可扩展的连接器，提供了独立于特定执行引擎的连接器API，使用户能轻松开发并集成自定义连接器至SeaTunnel项目中。此工具支持多种场景，包括离线、实时、全量、增量、CDC以及整库同步等数据集成需求，同时具备DDL变更、动态加表等特性。SeaTunnel在资源管理方面表现出色，优化了内存和CPU的消耗，设计了多表同步机制，并实现了JDBC资源共享，为用户提供高效、稳定的数据集成体验。由于 jwt 密钥在应用程序中是硬编码，攻击者可以在/seatunnel-server/seatunnel-app/src/main/resources/application.yml中获取密钥，可以伪造任何令牌来登录任何用户。

02

影响范围

Apache SeaTunnel 1.0.0

03

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至 Apache SeaTunnel 的修复版本或更高的版本：Apache SeaTunnel >= 1.0.1下载链接：https://github.com/apache/seatunnel-web/releases/tag/1.0.1

04

参考链接

1.https://lists.apache.org/thread/1tdxfjksx0vb9gtyt77wlr6rdcy1qwmw

05

技术支持

长按识别二维码，关注“安全聚”公众号，联系我们的团队技术支持。