Plataforma
java
Componente
org.apache.seatunnel:seatunnel-engine-server
Corregido en
2.3.11
2.3.11
La vulnerabilidad CVE-2025-32896 es una falla de lectura de archivos arbitrarios y deserialización en Apache SeaTunnel, que permite a usuarios no autorizados acceder a recursos sensibles. Esta vulnerabilidad se explota a través de la API RESTful, específicamente al enviar trabajos. Afecta a las versiones de Apache SeaTunnel hasta la 2.3.9, y se recomienda actualizar a la versión 2.3.11 para solucionar el problema.
Un atacante puede aprovechar esta vulnerabilidad para leer archivos arbitrarios en el sistema donde se ejecuta Apache SeaTunnel. Esto podría incluir archivos de configuración, claves de API, o incluso código fuente. La deserialización maliciosa podría permitir la ejecución de código arbitrario, dando al atacante control total sobre el sistema. El impacto potencial es alto, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad de los datos y servicios gestionados por SeaTunnel. La falta de autenticación adecuada en la API RESTful facilita la explotación, permitiendo a atacantes no autenticados enviar trabajos maliciosos.
Esta vulnerabilidad fue publicada el 19 de junio de 2025. No se ha reportado explotación activa en entornos reales, pero la disponibilidad de la API RESTful y la relativa simplicidad de la explotación la convierten en un objetivo potencial. Se recomienda monitorear los sistemas SeaTunnel para detectar actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción.
Organizations using Apache SeaTunnel for data integration and transformation pipelines, particularly those relying on the /hazelcast/rest/maps/submit-job endpoint for job submission, are at risk. Environments with weak access controls or legacy configurations are especially vulnerable.
• linux / server:
journalctl -u seatunnel -g "arbitrary file read"• java / supply-chain: Inspect SeaTunnel job submissions for unusual MySQL URL parameters. Look for patterns indicative of file path manipulation. • generic web:
curl -I /hazelcast/rest/maps/submit-job | grep -i 'content-type: application/json'Check for unexpected content types in the response, which might indicate a deserialization attempt.
disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
La mitigación principal para CVE-2025-32896 es actualizar Apache SeaTunnel a la versión 2.3.11 o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente la API RESTful o restringir el acceso a ella a usuarios autenticados. Habilitar la autenticación HTTPS bidireccional (two-way authentication) también es crucial para prevenir accesos no autorizados. Revise y endurezca la configuración de la API RESTful para evitar la inyección de parámetros maliciosos en las URLs de MySQL.
Actualice Apache SeaTunnel a la versión 2.3.11 o superior. Además, habilite la API RESTful v2 y configure la autenticación HTTPS bidireccional para mitigar la vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-32896 is a LOW severity vulnerability affecting Apache SeaTunnel versions up to 2.3.9, allowing unauthorized users to read arbitrary files and potentially execute code through the submit-job API.
You are affected if you are using Apache SeaTunnel version 2.3.9 or earlier. Upgrade to version 2.3.11 to resolve the issue.
Upgrade to Apache SeaTunnel version 2.3.11. Additionally, enable restful api-v2 and HTTPS two-way authentication for enhanced security.
There is currently no confirmed evidence of active exploitation, but the potential impact warrants prompt remediation.
Refer to the Apache SeaTunnel project's security announcements for the official advisory: [https://seatunnel.apache.org/docs/security/](https://seatunnel.apache.org/docs/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.