Apache Druid远程代码执行漏洞(CVE-2021-25646)
发布时间 2021-02-010x00 漏洞概述
CVE ID | CVE-2021-25646 | 时 间 | 2021-02-01 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Apache Druid <= 0.20.0 |
0x01 漏洞详情
Apache Druid是专为大数据集的快速切片分析(OLAP查询)而设计的高性能实时分析数据库。
2021年01月30日,Apache官方发布安全公告,公开了Druid中的一个远程代码执行漏洞(CVE-2021-25646)。
Apache Druid能够执行嵌入在各种类型的请求中的用户提供的JavaScript代码,默认情况下该功能是禁用的。但在Druid 0.20.0及之前的版本中,不管该功能是否启用,经过认证的用户可以发送恶意请求来使Druid强制运行该请求中的JavaScript代码,成功利用此漏洞的攻击者可以利用Druid权限在目标系统上执行代码。
0x02 处置建议
目前该漏洞已被修复,建议升级至Druid 0.20.1。
下载链接:
http://druid.apache.org/downloads.html
0x03 参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCACZfFK7WRWOfZ_3cZxXVE2nnGj73bBMBhND5gF=LzBeyfGxvpA@mail.gmail.com%3E
https://lists.apache.org/thread.html/rfda8a3aa6ac06a80c5cbfdeae0fc85f88a5984e32ea05e6dda46f866%40%3Cdev.druid.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25646
0x04 时间线
2021-01-30 Apache发布安全公告
2021-02-01 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/