CRITICAL🇬🇧 English

CVE-2026-24713

Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection

CVSS 9.8v3.1pub. 2026-03-09upd. 2026-03-10

Podatność klasy Improper Input Validation (CWE-20, CWE-917) w Apache IoTDB umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych operacji poprzez sieć. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla środowisk produkcyjnych korzystających z dotkniętych wersji.

Pokaż oryginał (EN)

Improper Input Validation vulnerability in Apache IoTDB. This issue affects Apache IoTDB: from 1.0.0 before 1.3.7, from 2.0.0 before 2.0.7. Users are recommended to upgrade to version 1.3.7 or 2.0.7, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji danych wejściowych dostarczanych przez użytkownika (CWE-20) w połączeniu z możliwością wstrzyknięcia wyrażeń lub instrukcji (CWE-917). Atakujący może przesłać specjalnie spreparowane żądanie do serwera Apache IoTDB bez konieczności uwierzytelnienia, logowania się ani interakcji po stronie ofiary. Wektor sieciowy (AV:N) i brak wymagań wstępnych (PR:N, AC:L, UI:N) sprawiają, że podatność jest szczególnie łatwa do wykorzystania.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu — atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować je lub doprowadzić do niedostępności usługi.

Mitygacja

Należy niezwłocznie zaktualizować Apache IoTDB do wersji 1.3.7 (dla gałęzi 1.x) lub 2.0.7 (dla gałęzi 2.x), które zawierają poprawkę eliminującą podatność. Szczegółowe informacje dostępne są w referencjach producenta: https://lists.apache.org/thread/vopgv6y2ccw403b0zv7rvojjrh7x1j5p

Kogo dotyczy

Apache IoTDB w wersjach od 1.0.0 do 1.3.6 (przed 1.3.7) oraz od 2.0.0 do 2.0.6 (przed 2.0.7).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Iotdb

    APP
    Apache
    1.0.0 – 1.3.7 (bez)2.0.0 – 2.0.7 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-24015CRITICAL9.8PL ✓ten sam produkt

Krytyczna podatność w Apache IoTDB (CVE-2026-24015)

CVE-2024-24780CRITICAL9.8PL ✓ten sam produkt

Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI

CVE-2023-46226CRITICAL9.8PL ✓ten sam produkt

RCE w Apache IoTDB — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2023-51656CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache IoTDB (RCE)

CVE-2023-24831CRITICAL9.8ten sam produkt

Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...

CVE-2026-24713 — Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection — CRITICAL 9.8 | CVEbaza.pl