漏洞预警|Apache StreamPipes 权限升级漏洞

时间：2023-06-27 18:32:19浏览次数：61

标签：StreamPipes streampipes 漏洞 Apache org apache

漏洞预警|Apache StreamPipes 权限升级漏洞_Apache

近日，棱镜七彩威胁情报团队探测到开源项目Apache StreamPipes 存在权限升级漏洞，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache StreamPipes（incubating）是一个工业物联网工具箱，它使非技术用户能够灵活地连接、分析和利用连续数据流。StreamPipes 将事件驱动的微服务架构与丰富的图形用户界面集成在一起，使用户可以创建流处理管道。

项目主页

http://streampipes.incubator.apache.org/

代码托管地址

https://github.com/apache/streampipes

CVE编号

CVE-2023-31469

漏洞情况

Apache StreamPipes是一款开源的流处理和机器学习平台。Apache StreamPipes 受影响版本中由于 UserResource.java 中的updateAppearanceMode、registerUser、registerService 函数未对用户身份进行验证，具有登录权限的普通用户可通过 {userId}/appearance/mode/{darkMode}、/user、/service API接口执行更改外观主题、注册新的用户或服务。

受影响的版本

org.apache.streampipes:streampipes-rest@[0.69.0, 0.92.0)

修复方案

升级org.apache.streampipes:streampipes-rest到 0.92.0 或更高版本

链接地址

标签：StreamPipes,streampipes,漏洞,Apache,org,apache
From： https://blog.51cto.com/u_15925793/6564870

xss漏洞攻击复现（xssgame靶场通关）
这篇文章简单的介绍下xssgame的通关方法，从名字可以看出，xssgame就是针对xss攻击进行专门的漏洞复现，由易到难。链接：https://pan.baidu.com/s/1F9I7iBdu7MPLLvegM5kAQg 提取码：469c 这是xssgame的安装包，将它放到phpstudy/WWW文件夹下访问即可第一关这一关没有任......
图书搜索领域重大突破！用Apache SeaTunnel、Milvus和OpenAI提高书名相似度搜索精准度和
作者|刘广东，ApacheSeaTunnelCommitter背景目前，现有的图书搜索解决方案（例如公共图书馆使用的解决方案）十分依赖于关键词匹配，而不是对书名实际内容的语义理解。因此会导致搜索结果并不能很好地满足我们的需求，甚至与我们期待的结果大相径庭。这是因为仅仅依靠关键词匹配是不够......
福昕Foxit PDF远程代码执行漏洞CVE-2023-27363分析与复现
漏洞概述福建福昕软件开发股份有限公司是一家国际化运营的PDF电子文档解决方案提供厂商，提供文档的生成、转换、显示、编辑、搜索、打印、存储、签章、表单、保护、安全分发管理等涵盖文档生命周期的产品技术与解决方案。其下产品FoxitPDFReader和FoxitPDFEditor的javascript函......
关于Nacos身份认证绕过漏洞默认密钥和JWT的研究
前言由于本人的一个习惯，每次遇到漏洞并复现后都要编写poc，以便下一次的直接利用与复测使用。研究Nacos默认密钥和JWT的爱恨情仇的过程中遇到了莫名其妙的问题，在此做以记录，方便日后有大佬遇到相同的问题路过看到能够得以解决。研究过程在Nacos身份认证绕过漏洞复现文章中提到jwt.......
记一次Nacos漏洞的复现 --> 身份认证绕过漏洞（QVD-2023-6271）
前记端午前两天，遇到公司某客户的站点是Nacos，随后就是网上搜一波漏洞，搜到QVD-2023-6271，故做以下记录漏洞复现漏洞描述漏洞原理为开源服务管理平台Nacos在默认配置下未对token.secret.key进行修改，导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果。漏洞信息漏洞......
首个国人主导的开源数据集成工具！揭秘 Apache 顶级项目 SeaTunnel 背后的故事
“未来十年，世界的开源要看中国。”在CSDN《开源访谈录》的采访中，Apache孵化器导师、ApacheSeaTunnelPMCMember&Mentor代立冬说下了这样的一句话，从他在Apache孵化器里看到的项目来看，由来自中国的开发者主导的开源项目比重越来越大。代立冬本人与“侠之大者”的郭炜一起，......
SeaTunnel 发布成为 Apache 顶级项目后首个版本 2.3.2，进一步提高 Zeta 引擎稳定性和易
近日，ApacheSeaTunnel正式发布2.3.2版本。此时距离上一版本2.3.1发布已有两个多月，期间我们收集并根据用户和开发者的反馈，在2.3.2版本中对SeaTunnelZetaEngine进行了Bug修复，提高了引擎的稳定性和使用效率。此外，新版本还对Connector-V2中的连接器进行了功能和性......
log4j反序列化漏洞（CVE-2017-5645）
Log4j漏洞复现基础知识：Apache：开放源码的网页服务器ApacheLog4j：apache的一个开源项目，java下最流行的日志输入工具，控制每一条日志的输出格式。Log4j版本：2.8.1漏洞编号：CVE-2017-5645环境搭建：vulhub里的log4j已开启在4712端口会开启一个TCPserver漏洞验证：查看4712端口是否开启这里直......
漏洞治理
1、TLS问题104743-TLS1.0版协议检测nginx使用配置选项:ssl_protocolsTLSv1.2TLSv1.3127907-nginx1.9.5<1.16.1/1.17.x<1.17.3MultipleVulnerabilities150154-nginx0.6.x<1.20.11-ByteMemoryOverwriteRCE134220-nginx<1.17.7Informa......
Apache RocketMQ EventBridge：构建下一代事件驱动引擎
作者：沈林前言事件驱动，这个词在部分人印象中，它是一个过时的技术——没什么新意。从时间上看，确实也是这样，上世纪60年代，事件驱动就已经被正式提出，经常会被在GUI编程中。但是在有些人印象中，事件驱动又是一个非常陌生，非常新颖的技术。不管怎么样，现实是已经有越来越多的公司，开始......