arangodb命令执行漏洞
- cnnvd编号:cnvd-2021-91632
- 危害等级: 中危
- cve编号:cve-2021-25940
- 漏洞类型: 通用型漏洞
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:国家信息安全漏洞共享平台
- 发布时间:2021-11-29
- 更新时间:2021-11-29
漏洞简介
arangodb是一个原生多模型数据库,兼有key/value键/值对、graph图和document文档数据模型,提供了涵盖三种数据模型的统一的数据库查询语言,并允许在单个查询中混合使用三种模型。
arangodb在3.7.6到3.8.3版本中存在一个命令执行漏洞,容易受到insufficient session expiration的影响,当管理员更改用户密码时,会话不会失效,允许恶意用户仍然登录并在系统内执行任意操作。攻击者成功利用该漏洞可以执行任意命令。
漏洞公示
在发布漏洞公告信息之前,cnvd都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
参考网站
https://www.whitesourcesoftware.com/vulnerability-database/cve-2021-25940
受影响实体
arangodb arangodb >=3.7.6,<=3.8.3
补丁
厂商已发布了漏洞修复程序,请及时关注更新:
