一、 漏洞 CVE-2025-32896 基础信息
漏洞信息
                                        # Apache SeaTunnel:未认证不安全访问

# 漏洞概述

未经授权的用户可以通过使用 restful api-v1 提交任务来进行任意文件读取和反序列化攻击。

# 影响版本

Apache SeaTunnel: <=2.3.10

# 漏洞细节

未经授权的用户可以通过访问 `/hazelcast/rest/maps/submit-job` 来提交任务。攻击者可以在 mysql URL 中设置额外的参数,从而执行任意文件读取和反序列化攻击。

# 漏洞影响

未经授权的用户可以利用此漏洞读取任意文件并执行反序列化攻击,可能泄露敏感信息或执行恶意代码。

# 修复建议

建议用户升级到版本 2.3.11,并启用 restful api-v2 和开启 https 双向认证,以修复此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache SeaTunnel: Unauthenticated insecure access
来源:美国国家漏洞数据库 NVD
漏洞描述信息
# Summary Unauthorized users can perform Arbitrary File Read and Deserialization attack by submit job using restful api-v1. # Details Unauthorized users can access `/hazelcast/rest/maps/submit-job` to submit job. An attacker can set extra params in mysql url to perform Arbitrary File Read and Deserialization attack. This issue affects Apache SeaTunnel: <=2.3.10 # Fixed Users are recommended to upgrade to version 2.3.11, and enable restful api-v2 & open https two-way authentication , which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
关键功能的认证机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache SeaTunnel 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache SeaTunnel是美国阿帕奇(Apache)基金会的一个简单易用的数据集成框架。 Apache SeaTunnel 2.3.10及之前版本存在访问控制错误漏洞,该漏洞源于未授权用户可以通过restful api-v1提交作业执行任意文件读取和反序列化攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-32896 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-32896 的情报信息
四、漏洞 CVE-2025-32896 的评论

暂无评论

发表评论