「Apache StreamPark」に暗号化などの脆弱性3件が判明
リアルタイムで取得されるデータの処理や管理を行う基盤「Apache StreamPark」に複数の脆弱性が明らかとなった。11月にリリースされたアップデートでいずれも修正済みだという。
現地時間2025年12月4日、メーリングリストを通じて開発チームが3件の脆弱性について明らかにしたもの。いずれも現地時間2025年11月5日にリリースされた「同2.1.7」で修正されている。
具体的には、トークンなど認証情報の暗号化などの処理に脆弱な乱数を用いる「CVE-2025-54981」や、ハードコードされた鍵を暗号化処理に使用する脆弱性「CVE-2025-54947」が判明した。情報漏洩やデータの改ざんにつながるおそれがある。
さらにユーザーのパスワードを署名鍵として直接利用する脆弱性「CVE-2025-53960」が明らかとなった。パスワードを解析されたり、パスワードが特定されている場合は、トークンの偽造などに悪用されるおそれがある。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、共通脆弱性評価システム「CVSSv3.1」のベーススコアについて「CVE-2025-54981」を「7.5」、重要度を「高(High)」とした。「CVE-2025-53960」を「5.9」、「CVE-2025-54947」を「5.3」とし、「中(Medium)」と評価している。
一方、米国立標準技術研究所(NIST)による脆弱性データベース「NVD」では「CVE-2025-54947」のCVSS基本値を「9.8」とし、重要度を「クリティカル(Critical)」とするなど評価に差も見られる。
(Security NEXT - 2025/12/19 )
ツイート
PR
関連記事
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
CiscoやSonicWallのゼロデイ脆弱性悪用に注意喚起 - 米CISA
「Node.js」のアップデートが再延期 - 年明け2026年1月7日を予定
SonicWallのリモートアクセス製品「SMA1000」にゼロデイ脆弱性
「Apache Airflow」の開発用拡張コンポーネントにRCE脆弱性
NVIDIAのロボティクスやAI開発向けシミュレーション基盤に脆弱性
Ciscoのメールセキュリティ製品にゼロデイ攻撃 - 構成や侵害状況の確認を
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
「Apache Commons Text」旧版に深刻な脆弱性 - 「FileMaker Server」に影響
「Chrome」にアップデート - 「WebGPU」「V8」の脆弱性を解消
