• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 數(shù)據(jù)庫
  • -
    • Apache Druid LoadData存在任意文件讀取漏洞
    • CNNVD編號:CNVD-2021-89547
    • 危害等級: 中危 
    • CVE編號:CVE-2021-36749
    • 漏洞類型: 通用型漏洞
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:國家信息安全漏洞共享平臺
    • 發(fā)布時間:2021-11-23
    • 更新時間:2021-11-23

    漏洞簡介

    Apache Druid是美國阿帕奇(Apache)基金會的一款使用Java語言編寫的、面向列的開源分布式數(shù)據(jù)庫。

    Apache Druid存在安全漏洞,該漏洞源于在 Druid ingestion system 中,InputSource用于從某個數(shù)據(jù)源讀取數(shù)據(jù)。但是,HTTP InputSource 允許經(jīng)過身份驗證的用戶以 Druid 服務器進程的權(quán)限從其他來源讀取數(shù)據(jù),例如本地文件系統(tǒng)。 這不是用戶直接訪問 Druid 時的權(quán)限提升,因為 Druid 還提供了Local InputSource,它允許相同級別的訪問。 但是當用戶通過允許用戶指定 HTTP InputSource 而不是 Local InputSource 的應用程序間接與 Druid 交互時,這是有問題的。 在這種情況下,用戶可以通過將文件 URL 傳遞給 HTTP InputSource 來繞過應用程序級別的限制。目前沒有詳細的漏洞細節(jié)提供。

    漏洞公示

    在發(fā)布漏洞公告信息之前,CNVD都力爭保證每條公告的準確性和可靠性。然而,采納和實施公告中的建議則完全由用戶自己決定,其可能引起的問題和結(jié)果也完全由用戶承擔。是否采納我們的建議取決于您個人或您企業(yè)的決策,您應考慮其內(nèi)容是否符合您個人或您企業(yè)的安全策略和流程。

    受影響實體

    Apache Druid <0.22.0