CRITICAL🇬🇧 English

CVE-2025-54947

Apache StreamPark: zakodowany na stałe klucz szyfrowania (CVE-2025-54947)

CVSS 9.8v3.1pub. 2025-12-12upd. 2025-12-15

Apache StreamPark w wersjach 2.0.0–2.1.4 zawiera podatność polegającą na użyciu zakodowanego na stałe klucza szyfrowania. Atakujący może pozyskać ten klucz metodą inżynierii wstecznej lub analizy kodu, co umożliwia odszyfrowanie wrażliwych danych lub sfałszowanie zaszyfrowanych informacji prowadzące do nieautoryzowanego dostępu do systemu.

Pokaż oryginał (EN)

In Apache StreamPark versions 2.0.0 through 2.1.7, a security vulnerability involving a hard-coded encryption key exists. This vulnerability occurs because the system uses a fixed, immutable key for encryption instead of dynamically generating or securely configuring the key. Attackers may obtain this key through reverse engineering or code analysis, potentially decrypting sensitive data or forging encrypted information, leading to information disclosure or unauthorized system access. This issue affects Apache StreamPark: from 2.0.0 before 2.1.7. Users are recommended to upgrade to version 2.1.7, which fixes the issue.

🤖 Analiza AI
Jak działa

System zamiast dynamicznie generować lub bezpiecznie konfigurować klucze kryptograficzne, wykorzystuje stały, niezmienny klucz szyfrowania wbudowany w kod aplikacji (CWE-321, CWE-798). Ponieważ klucz jest identyczny we wszystkich instalacjach, osoba atakująca może go wyodrębnić poprzez analizę kodu źródłowego lub skompilowanego oprogramowania. Posiadając klucz, atakujący jest w stanie odszyfrować dane chronione przez aplikację lub tworzyć podrobione zaszyfrowane dane, które system uzna za prawidłowe.

Skutki

Atakujący może uzyskać dostęp do poufnych danych (information disclosure) lub dokonać nieuprawnionego dostępu do systemu poprzez sfałszowanie zaszyfrowanych informacji uwierzytelniających bądź sesji.

Mitygacja

Należy zaktualizować Apache StreamPark do wersji 2.1.7, która eliminuje podatność poprzez usunięcie zakodowanego na stałe klucza szyfrowania.

Kogo dotyczy

Apache StreamPark w wersjach od 2.0.0 do 2.1.4 (przed 2.1.7)

Uwagi

Opis producenta wskazuje zakres wersji 'from 2.0.0 before 2.1.7', przy czym rekomendowana wersja naprawcza to 2.1.7. Informacja o podatności została opublikowana na liście dystrybucyjnej Apache oraz oss-security w dniu 2025-12-12.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Streampark

    APP
    Apache
    2.0.0 – 2.1.7 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-29070CRITICAL9.1PL ✓ten sam produkt

Apache Streampark: sesja nie jest unieważniana po wylogowaniu

CVE-2022-46365CRITICAL9.1ten sam produkt

Apache StreamPark 1.0.0 before 2.0.0 When the user successfully logs in, to modify his profile, the username w...

CVE-2022-45802CRITICAL9.8ten sam produkt

Streampark allows any users to upload a jar as application, but there is no mandatory verification of the uplo...

CVE-2025-54981HIGH7.5ten sam produkt

Weak Encryption Algorithm in StreamPark, The use of an AES cipher in ECB mode and a weak random number generat...

CVE-2025-30001HIGH7.3ten sam produkt

Incorrect Execution-Assigned Permissions vulnerability in Apache StreamPark. This issue affects Apache Stream...