Apache Druid远程代码执行漏洞(CVE-2021-25646)

发布时间 2021-02-01

0x00 漏洞概述

CVE  ID

CVE-2021-25646

时  间

2021-02-01

类   型

RCE

等  级

高危

远程利用

影响范围

Apache Druid <= 0.20.0

 

0x01 漏洞详情

image.png

 

Apache Druid是专为大数据集的快速切片分析(OLAP查询)而设计的高性能实时分析数据库。

2021年01月30日,Apache官方发布安全公告,公开了Druid中的一个远程代码执行漏洞(CVE-2021-25646)。

Apache Druid能够执行嵌入在各种类型的请求中的用户提供的JavaScript代码,默认情况下该功能是禁用的。但在Druid 0.20.0及之前的版本中,不管该功能是否启用,经过认证的用户可以发送恶意请求来使Druid强制运行该请求中的JavaScript代码,成功利用此漏洞的攻击者可以利用Druid权限在目标系统上执行代码。

  

0x02 处置建议

目前该漏洞已被修复,建议升级至Druid 0.20.1。

下载链接:

http://druid.apache.org/downloads.html

 

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCACZfFK7WRWOfZ_3cZxXVE2nnGj73bBMBhND5gF=LzBeyfGxvpA@mail.gmail.com%3E

https://lists.apache.org/thread.html/rfda8a3aa6ac06a80c5cbfdeae0fc85f88a5984e32ea05e6dda46f866%40%3Cdev.druid.apache.org%3E

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25646

 

0x04 时间线

2021-01-30  Apache发布安全公告

2021-02-01  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png