在广泛使用的分布式数据集成平台 Apache SeaTunnel 中，新披露的编号为 CVE-2025-32896 的漏洞，可能使未经身份验证的攻击者能够读取任意文件，并发起基于反序列化的攻击。

SeaTunnel 是下一代高性能数据集成引擎，用于在不同环境间同步海量数据。由于它受到大型组织的信赖和广泛采用，这一漏洞尤为危险。

该漏洞源于对一个遗留 REST API 端点的未认证访问：
/hazelcast/rest/maps/submit – job

攻击者可以利用这一点，通过使用 restful api-v1 向 SeaTunnel 提交作业，将恶意参数注入 MySQL 连接 URL。这可能导致：

1.从服务器文件系统读取任意文件。

2.通过不安全的 Java 对象反序列化执行远程代码。

Openwall 披露信息显示：“未经授权的用户可以通过使用 restful api – v1 提交作业来执行任意文件读取和反序列化攻击。”

由于该端点未强制进行身份验证，这为攻击者执行恶意有效载荷并访问敏感后端资源提供了便利途径。

此问题已在 Apache SeaTunnel 2.3.11 版本中得到修复。建议用户采取以下措施：

1.升级到 2.3.11 或更高版本。

2.启用 RESTful API v2 而非 v1。

3.为所有 SeaTunnel 节点启用 HTTPS 双向认证。

该修复是通过拉取请求 #9010 实现的，此请求更新了访问控制逻辑并保障了 API 端点的安全。