返回顶部
banner
banner
banner

网络信息安全

风险预警

关于Apache Druid任意文件读取漏洞(CVE-2021-36749)的风险预警提示

发布时间:2021-11-22 字体大小: [小] [中][大]

【漏洞描述】

近日,监测到 Apache Druid 任意文件读取漏洞细节及EXP在互联网公开,攻击者可通过将文件URL传递给HTTP InputSource,因Apache Druid默认情况下缺乏授权认证,即攻击者可构造恶意请求,在未授权情况下利用该漏洞读取任意文件,可导致服务器敏感信息泄漏。

Apache Druid是一个实时分析型数据库,旨在对大型数据集进行快速的查询分析("OLAP"查询)Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景,同时,Druid也通常被用来助力分析型应用的图形化界面,或者当做需要快速聚合的高并发后端APIDruid最适合应用于面向事件类型的数据。

严重等级:高危

【影响范围】

Apache Druid <= 0.21.1

【修复建议】

1.及时升级Apache Druid至最新安全版本:Apache Druid 0.22.0

下载地址:https://druid.apache.org/downloads.html