CRITICAL🇬🇧 English

CVE-2026-24015

Krytyczna podatność w Apache IoTDB (CVE-2026-24015)

CVSS 9.8v3.1pub. 2026-03-09upd. 2026-03-10

W Apache IoTDB wykryto krytyczną podatność mogącą wpłynąć na poufność, integralność i dostępność systemu. Ze względu na wysoki wynik CVSS 9.8 oraz brak wymagań dotyczących uwierzytelnienia, podatność stanowi poważne zagrożenie dla środowisk produkcyjnych.

Pokaż oryginał (EN)

A vulnerability in Apache IoTDB. This issue affects Apache IoTDB: from 1.0.0 before 1.3.7, from 2.0.0 before 2.0.7. Users are recommended to upgrade to version 1.3.7 or 2.0.7, which fixes the issue.

🤖 Analiza AI
Jak działa

Szczegółowy mechanizm podatności nie został ujawniony w dostępnym opisie. Wektor ataku (AV:N/AC:L/PR:N/UI:N) wskazuje, że exploit może być przeprowadzony zdalnie przez sieć, bez konieczności posiadania uprawnień ani interakcji ze strony użytkownika. CWE-1327 sugeruje nieprawidłowe zarządzanie lub walidację w obszarze bezpieczeństwa.

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym systemem, co obejmuje nieautoryzowany dostęp do danych (poufność), możliwość ich modyfikacji (integralność) oraz zakłócenie działania usługi (dostępność).

Mitygacja

Należy jak najszybciej zaktualizować Apache IoTDB do wersji 1.3.7 (dla gałęzi 1.x) lub 2.0.7 (dla gałęzi 2.x), które zawierają poprawkę eliminującą opisaną podatność.

Kogo dotyczy

Apache IoTDB w wersjach od 1.0.0 do 1.3.7 (bez 1.3.7) oraz od 2.0.0 do 2.0.7 (bez 2.0.7)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Iotdb

    APP
    Apache
    1.0.0 – 1.3.7 (bez)2.0.0 – 2.0.7 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-24713CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection

CVE-2024-24780CRITICAL9.8PL ✓ten sam produkt

Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI

CVE-2023-46226CRITICAL9.8PL ✓ten sam produkt

RCE w Apache IoTDB — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2023-51656CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache IoTDB (RCE)

CVE-2023-24831CRITICAL9.8ten sam produkt

Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...

CVE-2026-24015 — Krytyczna podatność w Apache IoTDB (CVE-2026-24015) — CRITICAL 9.8 | CVEbaza.pl