- شناسه CVE-2025-30001 :CVE
- CWE-279 :CWE
- yes :Advisory
- منتشر شده: اکتبر 10, 2025
- به روز شده: اکتبر 10, 2025
- امتیاز: 7.3
- نوع حمله: Broken Access Control
- اثر گذاری: Remote code execution(RCE)
- حوزه: سرورهای اپلیکیشن
- برند: Apache Software Foundation
- محصول: Apache StreamPark
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری تخصیص نادرست مجوزهای اجرا در Apache StreamPark نسخههای 2.1.4 تا پیش از 2.1.6 شناسایی شده است. این ضعف به کاربران احراز هویتشده اجازه میدهد تا فرمان ها را از راه دور اجرا کنند و سیستمهای مدیریت جریان داده را در معرض ریسک جدی قرار دهند.
توضیحات
آسیبپذیری CVE-2025-30001 ناشی از تخصیص نادرست مجوزهای اجرا مطابق با CWE-279، در نرمافزار Apache StreamPark (پلتفرمی برای مدیریت و استقرار برنامههای جریان داده مبتنی بر Apache Flink، Spark و غیره) نسخههای 2.1.4 تا پیش از 2.1.6 شناسایی شده است. این آسیب پذیری به کاربران احراز هویتشده امکان میدهد فرمان ها را از راه دور اجرا کنند. این نقص ریشه در کنترل مجوز ناقص در لایه اجرای StreamPark دارد — کنترلهای نقش/مجوز روی اندپوینتهای اجرایی بهدرستی اعمال نشدهاند و تنها احراز هویت (authentication) کافی قلمداد شده است.
در عمل یک کاربر احراز هویتشده میتواند اندپوینتهای مدیریتی را فراخوانی کند تا فرمان /Job اجرا شود؛ بسته به پیادهسازی، این درخواست میتواند به اجرای دستورات سطح سیستم، تغییر پیکربندی job ها یا اختلال در پردازش جریان بینجامد.
بهرهبرداری از این ضعف مستلزم داشتن حساب کاربری احراز هویتشده است و حمله می تواند بدون تعامل کاربر و از طریق شبکه انجام شود. پیامدهای احتمالی شامل محرمانگی با دسترسی غیرمجاز به اطلاعات، یکپارچگی با تغییر تنظیمات اجرای جریان و در دسترس پذیری با اختلال در پردازش دادهها در محیطهای تولید است. بنیاد نرم افزار آپاچی این آسیبپذیری در نسخه 2.1.6 پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.3 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 2.1.4 before 2.1.6 | Apache StreamPark |
لیست محصولات بروز شده
| Versions | Product |
| upgrade to version 2.1.6 or later | Apache StreamPark |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Apache Software Foundation و Apache StreamPark را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 2 | site:.ir “Apache StreamPark” | Apache StreamPark |
| 2,180 | site:.ir “Apache Software Foundation” | Apache Software Foundation |
نتیجه گیری
این آسیبپذیری با شدت بالا در Apache StreamPark به کاربران احراز هویتشده اجازه میدهد تا فرمانهایی را از راه دور اجرا کنند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر الزامی است:
- بهروزرسانی فوری: نسخههای آسیبپذیر را در اسرع وقت به 2.1.6 یا بالاتر به روزرسانی کنید.
- محدودسازی دسترسی مدیریتی: دسترسی به کنسول StreamPark و اندپوینتهای مدیریتی (مانند مسیرهای اجرایی /actuator/) را از طریق فایروال یا لیست کنترل دسترسی (ACL) فقط به شبکههای داخلی یا VPN محدود کنید.
- تقویت احراز هویت: از احراز هویت چندعاملی (MFA) استفاده کرده و حسابهای پیشفرض یا غیرضروری را غیر فعال نمایید تا احتمال سوءاستفاده کاربران داخلی یا مهاجمان کاهش یابد.
- پیکربندی امن Spring Boot: اندپوینتهای غیرضروری Actuator را غیرفعال کنید و مقادیر پیشفرض در فایلهای پیکربندی (مانند java) را بازبینی نمایید.
- مانیتورینگ و هشداردهی: لاگهای اجرای فرمان و تغییر پیکربندیها را با ابزارهای SIEM نظارت کنید و هشدارهایی برای الگوهای مشکوک یا اجرای دستورات غیرمنتظره تنظیم نمایید.
- آموزش مدیران سیستم: مدیران سیستم و تیم های توسعه و عملیات (DevOps) را دربارهی ریسکهای مربوط به پیکربندی های نادرست در برنامههای Spring Boot و ریسک اجرای فرمان از راه دور آموزش دهید.
اجرای این اقدامات، ریسک اجرای غیرمجاز فرمان و اختلال در پردازش دادهها را بهطور قابلتوجهی کاهش داده و امنیت زیرساخت های جریان داده را تضمین خواهد کرد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم با یک حساب احراز هویتشده (credentialed user) وارد سامانه میشود — معمولاً از طریق credential stuffing، سرقت اکانت یا حساب کاربری توسعهدهنده/تست که دسترسی به کنسول StreamPark دارد
Execution (TA0002)
با استفاده از اندپوینتهای اجراییِ آسیبپذیر، کاربر احراز هویتشده میتواند فرمان یا Job را از راه دور اجرا کند — این اجرا میتواند پروسهای روی میزبان یا container را spawn کند یا پارامترهای job را تغییر دهد
Persistence (TA0003)
مهاجم پس از اجرای فرمان میتواند persistence محلی ایجاد کند (کرون، سرویس استارتآپ، یا افزودن کانتینر دائمی) تا دسترسی حفظ شود. اگر Job اجازه نوشته شدن روی فایلسیستم یا زمانبندی مجدد داشته باشد
Defense Evasion (TA0005)
مهاجم ممکن است لاگها را پاک کند یا رفتار اجرا را طوری طراحی کند که قواعد ساده تشخیص را دور بزند
Credential Access (TA0006)
با داشتن حساب کاربری اگر دسترسی IO مجاز باشد، مهاجم میتواند توکنها یا فایلهای پیکربندی را بخواند و credentialهای ذخیرهشده را استخراج کند
Discovery (TA0007)
مهاجم می تواند رفتار محیط را کاوش میکند: لیست اندپوینتها، بررسی نقشها، و جستجوی اندپوینتهای actuator که اجرای فرمان را مجاز میکنند
Lateral Movement (TA0008)
پس از اجرای فرمان در یک نود، مهاجم میتواند از آن بهعنوان سکوی پرش برای حمله به سرویسها یا کارگرهای دیگر در کلاستر استفاده کند
Collection (TA0009)
مهاجم ممکن است دادههای جریان یا فایلهای موقت را خوانده و برای تحلیل محلی جمعآوری کند
Exfiltration (TA0010)
پس از جمعآوری، مهاجم میتواند دادهها را از طریق کانالهای خروجی یا سرویسهای قانونی به بیرون منتقل کند
Impact (TA0040)
اثرات عملی شامل اجرای غیرمجاز فرمان RCE در سطح اپلیکیشن، تغییر پیکربندی جریانها، اختلال در پردازش دادهها و نقض محرمانگی بخشهایی از دادههاست که میتواند به اختلال سرویس و ریسک تجاری منجر شود
منابع
