W Apache IoTDB wykryto krytyczną podatność mogącą wpłynąć na poufność, integralność i dostępność systemu. Ze względu na wysoki wynik CVSS 9.8 oraz brak wymagań dotyczących uwierzytelnienia, podatność stanowi poważne zagrożenie dla środowisk produkcyjnych.
▸ Pokaż oryginał (EN)
A vulnerability in Apache IoTDB. This issue affects Apache IoTDB: from 1.0.0 before 1.3.7, from 2.0.0 before 2.0.7. Users are recommended to upgrade to version 1.3.7 or 2.0.7, which fixes the issue.
Szczegółowy mechanizm podatności nie został ujawniony w dostępnym opisie. Wektor ataku (AV:N/AC:L/PR:N/UI:N) wskazuje, że exploit może być przeprowadzony zdalnie przez sieć, bez konieczności posiadania uprawnień ani interakcji ze strony użytkownika. CWE-1327 sugeruje nieprawidłowe zarządzanie lub walidację w obszarze bezpieczeństwa.
Atakujący może uzyskać pełną kontrolę nad podatnym systemem, co obejmuje nieautoryzowany dostęp do danych (poufność), możliwość ich modyfikacji (integralność) oraz zakłócenie działania usługi (dostępność).
Należy jak najszybciej zaktualizować Apache IoTDB do wersji 1.3.7 (dla gałęzi 1.x) lub 2.0.7 (dla gałęzi 2.x), które zawierają poprawkę eliminującą opisaną podatność.
Apache IoTDB w wersjach od 1.0.0 do 1.3.7 (bez 1.3.7) oraz od 2.0.0 do 2.0.7 (bez 2.0.7)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Iotdb
APPApache1.0.0 – 1.3.7 (bez)2.0.0 – 2.0.7 (bez)
Powiązane podatności
Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection
Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI
RCE w Apache IoTDB — zdalne wykonanie kodu bez uwierzytelnienia
Deserializacja niezaufanych danych w Apache IoTDB (RCE)
Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...