0x00 漏洞编号

• CVE-2024-27438

0x01 危险等级

• 高危
  

0x02 漏洞概述

Apache Doris是阿帕奇基金会的一个现代MPP分析数据库产品，可以提供亚秒级查询和高效的实时数据分析。

0x03 漏洞详情

CVE-2024-27438

漏洞类型：代码下载

影响：远程命令执行

简述：Apache Doris中没有完整性检查下载的代码，未检查用于JDBC目录的jdbc驱动程序文件，可能会导致远程命令执行，攻击者被授权创建 JDBC目录，就可以使用带有未经检查的代码任意驱动程序jar文件。

0x04 影响版本

• 1.2.0 <= Apache Doirs <= 2.0.4

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://doris.apache.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Apache Doris任意jar文件下载