近日,棱镜七彩威胁情报团队探测到开源项目Apache StreamPipes 存在权限升级漏洞,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
Apache StreamPipes(incubating)是一个工业物联网工具箱,它使非技术用户能够灵活地连接、分析和利用连续数据流。StreamPipes 将事件驱动的微服务架构与丰富的图形用户界面集成在一起,使用户可以创建流处理管道。
http://streampipes.incubator.apache.org/
https://github.com/apache/streampipes
CVE-2023-31469
Apache StreamPipes是一款开源的流处理和机器学习平台。Apache StreamPipes 受影响版本中由于 UserResource.java 中的updateAppearanceMode、registerUser、registerService 函数未对用户身份进行验证,具有登录权限的普通用户可通过 {userId}/appearance/mode/{darkMode}、/user、/service API接口执行更改外观主题、注册新的用户或服务。
org.apache.streampipes:streampipes-rest@[0.69.0, 0.92.0)
升级org.apache.streampipes:streampipes-rest到 0.92.0 或更高版本
https://nvd.nist.gov/vuln/detail/CVE-2023-31469
https://lists.apache.org/thread/c4y8kf9bzpf36v4bottfmd8tc9cxo19m
https://github.com/apache/streampipes/commit/2532e6a3694c91543d3792284e05a1eb6c485db6
https://github.com/apache/streampipes/issues/655
往期精彩回顾
漏洞预警|Apache Linkis 存在反序列化漏洞
漏洞预警|Apache Tomcat 信息泄露漏洞
漏洞预警|Apache Dubbo 存在反序列化漏洞
棱镜七彩作为国内专业开源成分管理及威胁情报服务的创新型科技企业,现全新推出柒巧板平台,免费提供一站式开源安全合规检测与开源测评服务,平台聚焦国内最主流的开源软件发展方向,助力开源行业安全与合规。更多讯息欢迎访问:https://spdx.cn
