CVE-2025-53960

Apache StreamPark: Uses the user’s password as the secret key

CVSS 5.9 MEDIUMEPSS 0.2%CWE-1240

En resumen

Apache StreamPark usa contraseñas de usuarios como clave secreta para firmar tokens de autenticación (JWT). Si un atacante captura un token, puede adivinar la contraseña sin conexión, o si ya conoce la contraseña, puede crear tokens falsos para suplantar a cualquier usuario.

Detalle técnico

La vulnerabilidad existe en la generación de JWT donde las contraseñas de usuarios se utilizan directamente como claves HMAC en lugar de un secreto dedicado. Un atacante con un JWT capturado puede realizar ataques de fuerza bruta sin conexión contra la contraseña, o con una contraseña conocida puede falsificar tokens de identidad arbitrarios, lo que permite comprometer completamente la cuenta. Versiones afectadas: 2.0.0 hasta 2.1.6.

Resumen generado y traducido por IA a partir de la descripción oficial.

When issuing JSON Web Tokens (JWT), Apache StreamPark directly uses the user's password as the HMAC signing key (e.g., with the HS256 algorithm). An attacker can exploit this vulnerability to perform offline brute-force attacks on the user's password using a captured JWT, or to arbitrarily forge identity tokens for the user if the password is already known, ultimately leading to complete account takeover. This issue affects Apache StreamPark: from 2.0.0 before 2.1.7. Users are recommended to upgrade to version 2.1.7, which fixes the issue.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

Apache Software Foundation · Apache StreamPark

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://lists.apache.org/thread/xlpvfzf5l5m5mfyjwrz5h4dssm3c32vy http://www.openwall.com/lists/oss-security/2025/12/04/1