Apache StreamPark w wersjach 2.0.0–2.1.4 zawiera podatność polegającą na użyciu zakodowanego na stałe klucza szyfrowania. Atakujący może pozyskać ten klucz metodą inżynierii wstecznej lub analizy kodu, co umożliwia odszyfrowanie wrażliwych danych lub sfałszowanie zaszyfrowanych informacji prowadzące do nieautoryzowanego dostępu do systemu.
▸ Pokaż oryginał (EN)
In Apache StreamPark versions 2.0.0 through 2.1.7, a security vulnerability involving a hard-coded encryption key exists. This vulnerability occurs because the system uses a fixed, immutable key for encryption instead of dynamically generating or securely configuring the key. Attackers may obtain this key through reverse engineering or code analysis, potentially decrypting sensitive data or forging encrypted information, leading to information disclosure or unauthorized system access. This issue affects Apache StreamPark: from 2.0.0 before 2.1.7. Users are recommended to upgrade to version 2.1.7, which fixes the issue.
System zamiast dynamicznie generować lub bezpiecznie konfigurować klucze kryptograficzne, wykorzystuje stały, niezmienny klucz szyfrowania wbudowany w kod aplikacji (CWE-321, CWE-798). Ponieważ klucz jest identyczny we wszystkich instalacjach, osoba atakująca może go wyodrębnić poprzez analizę kodu źródłowego lub skompilowanego oprogramowania. Posiadając klucz, atakujący jest w stanie odszyfrować dane chronione przez aplikację lub tworzyć podrobione zaszyfrowane dane, które system uzna za prawidłowe.
Atakujący może uzyskać dostęp do poufnych danych (information disclosure) lub dokonać nieuprawnionego dostępu do systemu poprzez sfałszowanie zaszyfrowanych informacji uwierzytelniających bądź sesji.
Należy zaktualizować Apache StreamPark do wersji 2.1.7, która eliminuje podatność poprzez usunięcie zakodowanego na stałe klucza szyfrowania.
Apache StreamPark w wersjach od 2.0.0 do 2.1.4 (przed 2.1.7)
Opis producenta wskazuje zakres wersji 'from 2.0.0 before 2.1.7', przy czym rekomendowana wersja naprawcza to 2.1.7. Informacja o podatności została opublikowana na liście dystrybucyjnej Apache oraz oss-security w dniu 2025-12-12.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Streampark
APPApache2.0.0 – 2.1.7 (bez)
Powiązane podatności
Apache Streampark: sesja nie jest unieważniana po wylogowaniu
Apache StreamPark 1.0.0 before 2.0.0 When the user successfully logs in, to modify his profile, the username w...
Streampark allows any users to upload a jar as application, but there is no mandatory verification of the uplo...
Weak Encryption Algorithm in StreamPark, The use of an AES cipher in ECB mode and a weak random number generat...
Incorrect Execution-Assigned Permissions vulnerability in Apache StreamPark. This issue affects Apache Stream...