Apache Druid远程代码执行漏洞（CVE-2021-25646）

2021年5月14日02:55:33评论46 views字数 933阅读3分6秒阅读模式

0x00 漏洞概述

CVE ID	CVE-2021-25646	时间	2021-02-01
类型	RCE	等级	高危
远程利用	是	影响范围	Apache Druid <= 0.20.0

0x01 漏洞详情

Apache Druid远程代码执行漏洞（CVE-2021-25646）

Apache Druid是专为大数据集的快速切片分析（OLAP查询）而设计的高性能实时分析数据库。

2021年01月30日，Apache官方发布安全公告，公开了Druid中的一个远程代码执行漏洞（CVE-2021-25646）。

Apache Druid能够执行嵌入在各种类型的请求中的用户提供的JavaScript代码，默认情况下该功能是禁用的。但在Druid 0.20.0及之前的版本中，不管该功能是否启用，经过认证的用户可以发送恶意请求来使Druid强制运行该请求中的JavaScript代码，成功利用此漏洞的攻击者可以利用Druid权限在目标系统上执行代码。

0x02 处置建议

目前该漏洞已被修复，建议升级至Druid0.20.1。

下载链接：

http://druid.apache.org/downloads.html

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCACZfFK7WRWOfZ_3cZxXVE2nnGj73bBMBhND5gF=LzBeyfGxvpA@mail.gmail.com%3E

https://lists.apache.org/thread.html/rfda8a3aa6ac06a80c5cbfdeae0fc85f88a5984e32ea05e6dda46f866%40%3Cdev.druid.apache.org%3E

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25646

0x04 时间线

2021-01-30 Apache发布安全公告

2021-02-01 VSRC发布安全通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

本文始发于微信公众号（维他命安全）：Apache Druid远程代码执行漏洞（CVE-2021-25646）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Apache Druid远程代码执行漏洞（CVE-2021-25646）

0x00 漏洞概述

0x01 漏洞详情

0x02 处置建议

0x03 参考链接

0x04 时间线

0x05 附录

Windows提权漏洞CVE-2025-21204

漏洞预警博华X龙防火墙系统 arp_scan文件读取漏洞

网安人的咯噔文学|CVE-2025-404NotFound？

CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升

Windows 提权漏洞速报：CVE-2025-21204

Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428

F5 BIG-IP命令注入漏洞CVE-2025-23239

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞 POC

CVE-2025-24071｜Windows 文件资源管理器欺骗漏洞

CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析

发表评论

在线咨询

微信