文章总结： ApacheUniffle曝出严重漏洞CVE-2025-68637，CVSS评分9.1。该漏洞因HTTP客户端默认信任所有SSL证书且禁用主机名验证，导致遭受中间人攻击风险，威胁大数据集群安全。影响0.10.0以前版本，官方已发布0.10.0版本修复，建议管理员立即升级以防数据被窃听。 综合评分： 89 文章分类： 漏洞预警,数据安全,网络安全

CVE-2025-68637：Apache Uniffle 严重漏洞使集群易受窃听

sec随谈

sec随谈

2026年1月12日 08:53 北京

Apache Uniffle（为大规模分布式计算引擎提供数据移动支持的远程 shuffle 服务）中发现了一个高危漏洞。该漏洞编号为 CVE-2025-68637， CVSS 评分为 9.1，属于严重级别，对运行 Apache Spark、Hadoop MapReduce 和 Tez 的大数据环境构成直接威胁。

该漏洞源于 Uniffle HTTP 客户端中不安全的默认配置，实际上为中间人 (MITM) 攻击铺平了道路。

Apache Uniffle 是现代数据基础设施的关键组件。它负责处理“数据洗牌”（shuffle），即在计算过程中将数据重新分布到集群中的复杂过程。通过将此任务卸载到远程服务，Uniffle 实现了“解耦式存储部署”，并支持具有高弹性的超大型作业。

然而，传输如此庞大的数据需要安全通道，而这恰恰是该软件的失败之处。

根据披露的信息，问题出在 Uniffle HTTP 客户端处理 SSL/TLS 连接的方式上。默认情况下，该客户端配置为信任所有 SSL 证书并禁用主机名验证。

此漏洞使得 Uniffle CLI/客户端与 Uniffle 协调器服务之间的所有 REST API 通信都面临被拦截的风险。网络中的攻击者可以轻易地伪造证书，并在客户端不发出警报的情况下拦截或篡改命令与控制流量。

该漏洞影响 Apache Uniffle 0.10.0 之前的所有版本。

Apache Uniffle 团队发布了0.10.0 版本，以解决这一关键的安全漏洞。此次更新强制执行严格的证书验证和主机名验证，确保客户端仅与合法的协调器服务通信。

强烈建议运行 Uniffle 集群的管理员立即升级，以防止分布式计算管道中出现潜在的数据拦截。

参考链接：

https://uniffle.apache.org/download/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《CVE-2025-68637：Apache Uniffle 严重漏洞使集群易受窃听》