CRITICAL🇬🇧 English

CVE-2024-29070

Apache Streampark: sesja nie jest unieważniana po wylogowaniu

CVSS 9.1v3.1pub. 2024-07-23upd. 2025-07-10

W Apache Streampark przed wersją 2.1.4 token autoryzacyjny pozostaje aktywny po wylogowaniu użytkownika. Pozwala to na nieautoryzowany dostęp do danych i wykonywanie żądań API przez osobę, która weszła w posiadanie tokenu.

Pokaż oryginał (EN)

On versions before 2.1.4, session is not invalidated after logout. When the user logged in successfully, the Backend service returns "Authorization" as the front-end authentication credential. "Authorization" can still initiate requests and access data even after logout. Mitigation: all users should upgrade to 2.1.4

🤖 Analiza AI
Jak działa

Po pomyślnym zalogowaniu backend Apache Streampark zwraca token 'Authorization', który służy jako poświadczenie uwierzytelnienia w komunikacji z frontendem. Podatność polega na tym, że po wylogowaniu użytkownika serwer nie unieważnia wydanego tokenu (brak prawidłowego zarządzania cyklem życia sesji, CWE-613). Oznacza to, że każdy, kto posiada przechwycony lub skopiowany token, może nadal wysyłać do backendu uwierzytelnione żądania i uzyskiwać dostęp do chronionych zasobów, mimo że właściciel konta formalnie się wylogował.

Skutki

Atakujący posiadający ważny token może uzyskać nieautoryzowany dostęp do poufnych danych (wysoka poufność) oraz potencjalnie doprowadzić do niedostępności zasobów (wysoka dostępność), bez konieczności posiadania jakichkolwiek uprawnień ani interakcji z użytkownikiem.

Mitygacja

Należy niezwłocznie zaktualizować Apache Streampark do wersji 2.1.4 lub nowszej, w której sesja jest prawidłowo unieważniana po wylogowaniu. Zgodnie z zaleceniem producenta wszyscy użytkownicy powinni przeprowadzić tę aktualizację.

Kogo dotyczy

Apache Streampark we wszystkich wersjach przed 2.1.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • Apache Streampark

    APP
    Apache
    1.0.0 – 2.1.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54947CRITICAL9.8PL ✓ten sam produkt

Apache StreamPark: zakodowany na stałe klucz szyfrowania (CVE-2025-54947)

CVE-2022-46365CRITICAL9.1ten sam produkt

Apache StreamPark 1.0.0 before 2.0.0 When the user successfully logs in, to modify his profile, the username w...

CVE-2022-45802CRITICAL9.8ten sam produkt

Streampark allows any users to upload a jar as application, but there is no mandatory verification of the uplo...

CVE-2025-54981HIGH7.5ten sam produkt

Weak Encryption Algorithm in StreamPark, The use of an AES cipher in ECB mode and a weak random number generat...

CVE-2025-30001HIGH7.3ten sam produkt

Incorrect Execution-Assigned Permissions vulnerability in Apache StreamPark. This issue affects Apache Stream...