Vulnerabilidad de ejecucion remota de codigo Apache Druid

vulnerabilidad

Druid es una base de datos de análisis en tiempo real de alto rendimiento. El principal valor agregado de Druid es reducir el tiempo de comprensión y acción

Druid está diseñado para flujos de trabajo donde las consultas rápidas y la ingesta realmente importan. Druid sobresale en potenciar interfaces de usuario, ejecutar consultas operativas (ad-hoc) o manejar alta concurrencia. Considere a Druid como una alternativa de código abierto a los almacenes de datos para una variedad de casos de uso.

Recientemente, Apache Druid lanzó oficialmente una actualización de seguridad, informando una vulnerabilidad de ejecución remota de código, el número de vulnerabilidad es CVE-2021-25646. Dado que Apache Druid carece de autorización y autenticación de forma predeterminada, los atacantes pueden enviar solicitudes especialmente diseñadas para ejecutar código arbitrario con los privilegios de los procesos en el servidor Druid.

Detalle de vulnerabilidad

Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario incrustado en varios tipos de solicitudes. Esta funcionalidad está pensada para su uso en entornos de alta confianza y está deshabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obligue a Druid a ejecutar código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor Druid.

Versión afectada

Apache Druida = <0.20.0

Versión no afectada

Apache Druida 0.20.1

Solución: Recomendamos al usuario que actualice Apache Druid a la versión no afectada lo antes posible.

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-02-03. Fecha publicación el 2021-02-03. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST