CVE-2025-32896

Nome do Software Vulnerável e Versões Afetadas Versões do Apache SeaTunnel <=2.3.10

Descrição Usuários não autorizados podem realizar ataques de Leitura Arbitrária de Arquivos e Desserialização ao submeter um job usando a restful api-v1. Um invasor pode acessar o endpoint /hazelcast/rest/maps/submit-job para submeter um job e definir parâmetros extras na URL do MySQL para realizar o ataque.

Recomendações Para as versões do Apache SeaTunnel <=2.3.10, recomenda-se aos usuários atualizar para a versão 2.3.11 e habilitar a restful api-v2 e a autenticação mútua HTTPS, o que corrige o problema. Como solução temporária, considere restringir o acesso ao endpoint /hazelcast/rest/maps/submit-job até que o problema seja resolvido.