Apache Druid 0.20.0远程命令执行漏洞

  • A+
所属分类:安全漏洞

点击上方「蓝色微信名」可快速关注




Apache Druid 0.20.0远程命令执行漏洞



Apache Druid 0.20.0远程命令执行漏洞

完整标题

 


Apache Druid 0.20.0远程命令执行漏洞 
[突出显示]
添加日期

 


2021年4月27日

类别

 


远程攻击

风险

 

 [

安全风险严重

]

描述

 

Apache Druid能够执行嵌入在各种类型的请求中的用户提供的JavaScript代码。但是,默认情况下该功能处于禁用状态。在0.20.1之前的Druid版本中,经过身份验证的用户可以发送特制请求,该请求既可以启用JavaScript代码执行功能,也可以一次执行所有提供的代码,从而允许在服务器上以Druid的特权执行代码。服务器进程。更重要的是,默认情况下未在Apache Druid中启用身份验证。
CVE

 

CVE-2021-25646
漏洞利用
https://0day.today/exploit/36159


本文始发于微信公众号(Ots安全):Apache Druid 0.20.0远程命令执行漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: