Apache Druid远程代码执行漏洞(CVE-2021-26919)

发布时间 2021-03-30

0x00 漏洞概述

CVE  ID

CVE-2021-26919

时    间

2021-03-30

类   型

 RCE

等    级

中危

远程利用

影响范围

Druid <= 0.20.1

PoC/EXP

未公开

在野利用


 

0x01 漏洞详情

image.png

 

Apache Druid是专为大数据集的快速切片分析(OLAP查询)而设计的高性能分析数据库。

2021年03月29日,Apache官方发布安全公告,公开了Apache Druid中的一个远程代码执行漏洞(CVE-2021-26919)。

Druid 使用JDBC从其它数据库读取数据,此功能是为了让受信任的用户通过适当的权限来设置查找或提交提取任务。由于Apache Druid 默认情况下缺乏授权认证,攻击者可通过构造恶意请求执行任意代码,从而控制服务器。

 

0x02 处置建议

目前官方已修复了此漏洞,建议及时升级到Druid 0.20.2。

下载链接:

https://github.com/apache/druid/releases/tag/druid-0.20.2

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202103.mbox/%3CCACZfFK6Va-CqhfDUPqPvqBCw8JsJwQ1xRe8JxeQbX5cRyi7qJg@mail.gmail.com%3E

https://github.com/apache/druid/releases/tag/druid-0.20.2

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26919

 

0x04 时间线

2021-03-29  Apache发布安全公告

2021-03-30  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png