超级会员免费看
本文详细介绍了Apache Druid的远程代码执行(RCE)漏洞(CVE-2023-25194)及其影响范围。该漏洞允许未经认证的攻击者通过配置Kafka连接属性触发JNDI注入,影响版本为0.19.0到25.0.0。复现环境为24.0.1,通过访问特定页面和修改请求包可复现漏洞。修复建议包括等待官方新版本发布进行安全更新,或立即开启Druid的认证配置并考虑将其移至内网。
0x01 产品简介
Apache Druid是一个高性能的实时大数据分析引擎,支持快速数据摄取、实时查询和数据可视化。它主要用于OLAP(在线分析处理)场景,能处理PB级别的数据。Druid具有高度可扩展、低延迟和高吞吐量的特点,广泛应用于实时监控、事件驱动分析、用户行为分析、网络安全等领域。通过使用Druid,企业和开发者可以快速获得实时分析结果,提升决策效率。
0x02 漏洞概述
在Apache Druid使用Apache Kafka加载数据的场景下,未经身份认证的远程攻击者可配置Kafka连接属性,从而利用CVE-2023-25194漏洞触发JNDI注入,最终执行任意代码。(其他使用Apache Kafka Connect的产品也可能受CVE-2023-25194漏洞影响)
0x03 影响范围
影响版本
0.19.0 <= Apache Druid <= 25.0.0
不受影响版本
Apache Druid >= 26.0.0(修复版本尚未正式发布)
0x04 复现环境
FOFA语法:title="Apache Druid"
本次复现版本为:24.0.1
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
