一👨🏿💻、漏洞描述
近日,監測到 Apache Druid 任意文件讀取漏洞細節及EXP在互聯網公開,攻擊者可通過將文件URL傳遞給HTTP InputSource🏃🏻➡️,因Apache Druid默認情況下缺乏授權認證♖,即攻擊者可構造惡意請求,在未授權情況下利用該漏洞讀取任意文件🪞,可導致服務器敏感信息泄漏。
Apache Druid是一個實時分析型數據庫🦗,旨在對大型數據集進行快速的查詢分析(OLAP查詢)🗝。Druid最常被當做數據庫來用以支持實時攝取♠️👱🏼、高性能查詢和高穩定運行的應用場景,同時,Druid也通常被用來助力分析型應用的圖形化界面,或者當做需要快速聚合的高並發後端API,Druid最適合應用於面向事件類型的數據。
嚴重等級:高危
二👇🏻、影響範圍
Apache Druid <= 0.21.1
三、修復建議
1.及時升級Apache Druid至最新安全版本🥘:Apache Druid 0.22.0
下載地址:https://druid.apache.org/downloads.html