CVE-2025-32896: Apache SeaTunnel Flaw Enables Unauthenticated File Read & RCE
2025/04/13 SecurityOnline — 分散データ統合プラットフォームとして広く利用される Apache SeaTunnel に、新たな脆弱性 CVE-2025-32896 が発見された。この脆弱性を悪用する未認証の攻撃者により、任意のファイル読取りなどの、デシリアライゼーション・ベースの攻撃が実行される可能性が生じている。
多様な環境間での膨大な量のデータの同期に使用される SeaTunnel は、次世代の高性能データ統合エンジンである。大規模組織による信頼を得て、実際に導入されている SeaTunnel の脆弱性は、きわめて危険なものである。
この脆弱性は、以下のレガシー REST API エンドポイントへの、未認証のアクセスに起因する。
/hazelcast/rest/maps/submit-job
RESTful API-v1 を悪用する攻撃者は、SeaTunnelにジョブを送信し、MySQL 接続 URL に悪意のあるパラメータを挿入することで、この脆弱性を悪用する可能性を手にする。それにより、以下の問題が発生する恐れが生じる。
- サーバのファイル・システム上での任意のファイル読取
- 安全が確保されない Java オブジェクトのデシリアライゼーションによるリモートコード実行
Openwall が開示する情報には、「権限のないユーザーであっても、RESTful API-v1 を悪用するジョブ送信により、任意のファイル読取りおよび、デシリアライゼーション攻撃が実行される」と記されている。
このエンドポイントは認証を強制しないため、攻撃者に対して無防備な攻撃ベクターが提供され、悪意のイロード実行や、高機密性のバックエンド・リソースへの不正アクセスが生じることになる。
すでに Apache は、SeaTunnel バージョン 2.3.11 をリリースし、この問題を修正している。ユーザーに対して強く推奨されるのは、以下の対策である。
- 2.3.11 以降へのアップグレード
- RESTful API v1 の無効化と v2 有効化
- すべての SeaTunnel ノードにおける HTTPS 双方向認証の有効化
この修正はプルリクエスト#9010により実装されており。それにより、アクセス制御ロジックが更新され、API エンドポイントが保護される。
文中でも紹介されているように、Apache SeaTunnel については、「日々の膨大な量のデータを同期する、次世代の高性能分散データ統合ツールである。その効率性と安定性から、多くの企業から信頼を得ている」と、GitHub にも記されています。影響の範囲が想像できないですが、侵害に至らなければ良いですね。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.