CVE-2021-36749
Apache Druid 是一个实时分析型数据库,旨在对大型数据集进行快速的查 询分析("OLAP"查询)。Druid 最常被当做数据库来用以支持实时摄取、高性能 查询和高稳定运行的应用场景,同时,Druid 也通常被用来助力分析型应用的图 形化界面,或者当做需要快速聚合的高并发后端 API,Druid 最适合应用于面向 事件类型的数据。
Apache Druid HTTP InputSource 存在任意文件读取漏洞。在 Apache Druid 系统中,InputSource 用于从某个数据源读取数据。由于没有对用户可控的 HTT P InputSource 做限制,Apache Druid 允许经过身份验证的用户以 Druid 服务 器进程的权限从指定数据源读取数据,包括本地文件系统。攻击者可通过将文 件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apache Druid 默认情况下缺乏授权认证,攻击者可构造恶意请求,在未授权情况下利 用该漏洞读取任意文件,最终导致服务器敏感信息泄露。
1、CAS未使用druid组件,不涉及;
2、Cloudos未使用该组件,不涉及
3、Onestor未使用该组件,不涉及
4、UIS未使用该组件,不涉及;
5、VDI系列产品未使用该组件,不涉及;
6、大数据未使用该组件,不涉及;
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作