Kritische Sicherheitslücke in Apache Flink ermöglicht Fernzugriff und Code-Ausführung
Eine neu enthüllte kritische Schwachstelle Apache Flink, die als CVE-2026-35194 verfolgt wird, macht verteilte Datenverarbeitungsumgebungen anfällig für Remote-Code-Execution (RCE)-Angriffe über SQL-Injection-Schwachs
Kurzfassung
Warum das wichtig ist
- Eine neu enthüllte kritische Schwachstelle Apache Flink, die als CVE-2026-35194 verfolgt wird, macht verteilte Datenverarbeitungsumgebungen anfällig für Remote-Code-Execution (RCE)-Angriffe über SQL-Injection-Schwachs
- Die Schwachstelle befindet sich im SQL-Code-Generierungsmechanismus, bei dem benutzerseitige Eingaben nicht ordnungsgemäß bereinigt werden, bevor sie in dynamisch generierten Java-Code eingebettet werden.
- Dies ermöglicht es authentifizierten Benutzern mit Abfragesubmissionsrechten, bösartige Payloads einzuschleusen, die beabsichtigte String-Grenzen überschreiten und beliebigen Code auszuführen.
Durch Ausnutzung dieser Komponenten können Angreifer SQL-Abfragen erstellen, die den Code-Generierungsprozess manipulieren und letztlich die Ausführung beliebigen Codes auf TaskManager-Knoten innerhalb eines Flink-Clusters ermöglichen.
Laut dem Advisory sind folgende Versionen verwundbar: Apache Flink 1.15.0 bis 1.20.x (vor 1.20.4), Apache Flink 2.0.0 bis 2.x (vor 2.0.2, 2.1.2 und 2.2.1). Der Apache-Mitglied Martijn Visser gab das Problem am 15. Mai 2026 öffentlich bekannt und bewertete es als kritisch aufgrund der Auswirkungen auf Produktions-Clustern. Apache Flink-Schwachstelle.
Die Ursache liegt in unsicheren String-Interpolationen während der Übersetzung Eingaben werden ohne ausreichende Escaping- oder Validierungsmaßnahmen direkt in den generierten Code eingefügt.
Dies ermöglicht Angreifern Folgendes: Ausbrüche aus
Dies ermöglicht Angreifern Folgendes: Ausbrüche aus String-Literalen im generierten Java-Code, das Einfügen beliebiger Java-Ausdrücke oder Methodenaufrufe sowie die Ausführung von bösartigem Code auf verteilten TaskManager-Knoten.
Aufgrund der Architektur Ausnutzung zu einer vollständigen Kompromittierung des Clusters, zur Manipulation Bewegung innerhalb der Umgebung führen. Die Schwachstelle ist insbesondere Mehrtenant- oder geteilten Umgebungen gefährlich, in denen Benutzer Berechtigungen zur Abfrageausführung besitzen.
Selbst ohne administrative Rechte kann ein Angreifer seine Fähigkeiten ausweiten und die Kontrolle über Backend-Verarbeitungs-Knoten erlangen. Apache hat gepatchte Versionen veröffentlicht, um das Problem zu beheben, und fordert Benutzer dringend auf, sofort auf die Versionen 1.20.4, 2.0.2, 2.1.2 oder 2.2.1 zu aktualisieren.
Zusätzliche Minderungsmaßnahmen umfassen: Die Einschränkung für
Zusätzliche Minderungsmaßnahmen umfassen: Die Einschränkung für Abfragen auf vertrauenswürdige Benutzer. Die Überwachung der SQL-Abfrageaktivität auf anomale Muster.
Die Implementierung, die Apache Flink Produktionsumgebungen einsetzen, sollten die Patchung priorisieren, da eine Ausnutzung schwerwiegende operative und datensicherheitsrelevante Risiken nach sich ziehen könnte. Abi ist eine Sicherheitsredakteurin und Mitautorin bei
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
US-Unternehmen liefert seltene Erden-Magnete für die Rüstungsindustrie
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Crimson Desert: Zweitbestseller der USA 2026; Tomodachi Life führt April-Charts unter Circanas neuem Tracking-Verfahren an
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- Critical Apache Flink Vulnerability Enables Remote code execution Attacks
- Canonical
- https://cybersecuritynews.com/apache-flink-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/apache-flink-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
US-Unternehmen liefert seltene Erden-Magnete für die Rüstungsindustrie
Die Defense Logistics Agency (DLA) hat dem Advanced Magnet Lab (AML) einen Vertrag über 2 Millionen US-Dollar für die Qualifizierung , in den USA hergestellten Sinter-NdFeB-Magneten (Neodymeisenbor) fü
20.05.2026
Live Redaktion
Crimson Desert: Zweitbestseller der USA 2026; Tomodachi Life führt April-Charts unter Circanas neuem Tracking-Verfahren an
Wie jeden Monat hat Mat Piscatella, Geschäftsführer , die Verkaufscharts der meistverkauften Videospiele in den Vereinigten Staaten für den vergangenen Monat veröffentlicht.
20.05.2026
Live Redaktion
Vier Haushaltsgeräte mit tiefen Rabatten bei Costco im Mai 2026
Um noch mehr für Ihr Geld zu erhalten, bietet Costco bei Ihrem Einkauf zusätzliche Vorteile an. Dazu können kostenloser Zustellservice, Abhol-Service und sogar eine grundlegende Installation gehören.
20.05.2026
Live Redaktion
Physikgleichungen kartieren Gedächtnisverzerrungen
Zusammenfassung: Eine revolutionäre, interdisziplinäre Studie wird versuchen zu entschlüsseln, wie intensive menschliche Emotionen unser Gedächtnis verzerren und umgestalten.
20.05.2026
Live Redaktion