apache druid loaddata存在任意文件读取漏洞
- cnnvd编号:cnvd-2021-89547
- 危害等级: 中危
- cve编号:cve-2021-36749
- 漏洞类型: 通用型漏洞
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:国家信息安全漏洞共享平台
- 发布时间:2021-11-23
- 更新时间:2021-11-23
漏洞简介
apache druid是美国阿帕奇(apache)基金会的一款使用java语言编写的、面向列的开源分布式数据库。
apache druid存在安全漏洞,该漏洞源于在 druid ingestion system 中,inputsource用于从某个数据源读取数据。但是,http inputsource 允许经过身份验证的用户以 druid 服务器进程的权限从其他来源读取数据,例如本地文件系统。 这不是用户直接访问 druid 时的权限提升,因为 druid 还提供了local inputsource,它允许相同级别的访问。 但是当用户通过允许用户指定 http inputsource 而不是 local inputsource 的应用程序间接与 druid 交互时,这是有问题的。 在这种情况下,用户可以通过将文件 url 传递给 http inputsource 来绕过应用程序级别的限制。目前没有详细的漏洞细节提供。
漏洞公示
在发布漏洞公告信息之前,cnvd都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
参考网站
受影响实体
apache druid <0.22.0
补丁
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
