W Apache Streampark przed wersją 2.1.4 token autoryzacyjny pozostaje aktywny po wylogowaniu użytkownika. Pozwala to na nieautoryzowany dostęp do danych i wykonywanie żądań API przez osobę, która weszła w posiadanie tokenu.
▸ Pokaż oryginał (EN)
On versions before 2.1.4, session is not invalidated after logout. When the user logged in successfully, the Backend service returns "Authorization" as the front-end authentication credential. "Authorization" can still initiate requests and access data even after logout. Mitigation: all users should upgrade to 2.1.4
Po pomyślnym zalogowaniu backend Apache Streampark zwraca token 'Authorization', który służy jako poświadczenie uwierzytelnienia w komunikacji z frontendem. Podatność polega na tym, że po wylogowaniu użytkownika serwer nie unieważnia wydanego tokenu (brak prawidłowego zarządzania cyklem życia sesji, CWE-613). Oznacza to, że każdy, kto posiada przechwycony lub skopiowany token, może nadal wysyłać do backendu uwierzytelnione żądania i uzyskiwać dostęp do chronionych zasobów, mimo że właściciel konta formalnie się wylogował.
Atakujący posiadający ważny token może uzyskać nieautoryzowany dostęp do poufnych danych (wysoka poufność) oraz potencjalnie doprowadzić do niedostępności zasobów (wysoka dostępność), bez konieczności posiadania jakichkolwiek uprawnień ani interakcji z użytkownikiem.
Należy niezwłocznie zaktualizować Apache Streampark do wersji 2.1.4 lub nowszej, w której sesja jest prawidłowo unieważniana po wylogowaniu. Zgodnie z zaleceniem producenta wszyscy użytkownicy powinni przeprowadzić tę aktualizację.
Apache Streampark we wszystkich wersjach przed 2.1.4
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:HApache Streampark
APPApache1.0.0 – 2.1.4 (bez)
Powiązane podatności
Apache StreamPark: zakodowany na stałe klucz szyfrowania (CVE-2025-54947)
Apache StreamPark 1.0.0 before 2.0.0 When the user successfully logs in, to modify his profile, the username w...
Streampark allows any users to upload a jar as application, but there is no mandatory verification of the uplo...
Weak Encryption Algorithm in StreamPark, The use of an AES cipher in ECB mode and a weak random number generat...
Incorrect Execution-Assigned Permissions vulnerability in Apache StreamPark. This issue affects Apache Stream...