首頁 > 安全研究 > 安全通報 > 安全通告

Apache Druid遠程代碼執行漏洞(CVE-2021-25646)

發布時間 2021-02-01

0x00 漏洞概述

CVE  ID

CVE-2021-25646

時  間

2021-02-01

類   型

RCE

等  級

高危

遠程利用

影響范圍

Apache Druid <= 0.20.0

 

0x01 漏洞詳情

image.png

 

Apache Druid是專為大數據集的快速切片分析(OLAP查詢)而設計的高性能實時分析數據庫。

2021年01月30日,Apache官方發布安全公告,公開了Druid中的一個遠程代碼執行漏洞(CVE-2021-25646)。

Apache Druid能夠執行嵌入在各種類型的請求中的用戶提供的JavaScript代碼,默認情況下該功能是禁用的。但在Druid 0.20.0及之前的版本中,不管該功能是否啟用,經過認證的用戶可以發送惡意請求來使Druid強制運行該請求中的JavaScript代碼,成功利用此漏洞的攻擊者可以利用Druid權限在目標系統上執行代碼。

  

0x02 處置建議

目前該漏洞已被修復,建議升級至Druid 0.20.1。

下載鏈接:

http://druid.apache.org/downloads.html

 

 

0x03 參考鏈接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCACZfFK7WRWOfZ_3cZxXVE2nnGj73bBMBhND5gF=LzBeyfGxvpA@mail.gmail.com%3E

https://lists.apache.org/thread.html/rfda8a3aa6ac06a80c5cbfdeae0fc85f88a5984e32ea05e6dda46f866%40%3Cdev.druid.apache.org%3E

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25646

 

0x04 時間線

2021-01-30  Apache發布安全公告

2021-02-01  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇