Apache Druid < 0.22.0 错误授权

medium Nessus 插件 ID 181679

简介

远程主机上安装的应用程序缺少供应商提供的安全更新。

描述

在 Druid 摄取系统中,InputSource 用于从特定数据源读取数据。但是,HTTP InputSource 允许经过身份验证的用户以 Druid 服务器进程的权限,从预期之外的其他来源(例如本地文件系统)读取数据。当用户直接访问 Druid 时,这不会带来权限提升,因为 Druid 还会提供允许相同访问权限级别的 Local InputSource。但当用户通过允许用户指定 HTTP InputSource(而不是 Local InputSource)的应用程序间接与 Druid 交互时,就会出现问题。在这种情况下,用户可以通过将文件 URL 传递到 HTTP InputSource,来绕过应用程序级别的限制。这个问题之前提到过,已按照 CVE-2021-26920 在 0.21.0 中修复,但未在 0.21.0 或 0.21.1 中修复。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 Apache Druid 0.22.0 或更新版本。

另见

http://www.nessus.org/u?71f54ff9

插件详情

严重性: Medium

ID: 181679

文件名: apache_druid_0_22_0.nasl

版本: 1.1

类型: remote

系列: Misc.

发布时间: 2023/9/20

最近更新时间: 2023/9/21

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS 分数来源: CVE-2021-36749

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apache:druid

必需的 KB 项: installed_sw/Apache Druid

易利用性: No known exploits are available

补丁发布日期: 2021/9/24

漏洞发布日期: 2021/9/24

参考资料信息

CVE: CVE-2021-36749