CVE-2021-25646 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Druid 存在**访问控制错误**。 💥 **后果**：攻击者可强制 Druid 运行**用户提供的 JavaScript 代码**，并执行**服务器进程特权**的代码（即 RCE）。

🔍 **缺陷点**：**访问控制错误**。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但核心在于**缺乏对请求中系统配置覆盖的有效授权验证**。

📦 **组件**：**Apache Druid**。 📅 **版本**：**0.20.0 及更早版本**。 🏢 **厂商**：Apache Software Foundation。

🔓 **权限**：获得**服务器进程特权**。 📂 **数据**：可执行任意代码，完全控制受影响的服务实例。 📝 **原理**：通过特制请求覆盖系统配置，注入恶意 JS 脚本。

🚪 **门槛**：**中等/低**。 🔑 **认证**：描述提及“经过身份验证的用户”，但 PoC 显示**默认缺乏授权认证**即可利用。 ⚙️ **配置**：无需特殊配置，直接发送 POST 请求即可。

🧪 **Exp/PoC**：**有**。 🔗 **来源**：GitHub 上存在多个 PoC 脚本（如 `cve-2021-25646.py`）和 GUI 工具。 🌐 **利用**：通过 DNSLog 检测或直接执行命令。

🔎 **自查方法**： 1. **检测脚本**：使用 Python 脚本发送特制请求，通过 DNSLog 日志判断。 2. **HTTP 特征**：POST `/druid/indexer/v1/sampler?for=filter`，Content-Type 为 `application/json`。 3. **扫描**：使用 Vulnmachines 等工具批量检测。

🛡️ **官方修复**：**已修复**。 📅 **时间**：2021 年 1 月 29 日通报，2 月 4 日/5 日合并修复补丁。 🚀 **版本**：**0.21.0** 及更新版本已修复此漏洞。

⚠️ **临时规避**： 1. **升级**：立即升级至 **0.21.0+**。 2. **认证**：如果无法升级，务必开启**身份认证**，限制访问权限。 3. **网络**：在防火墙层面**阻断**对 Druid 端口（默认 8888）的公网访问。

🔥 **优先级**：**极高 (Critical)**。 📉 **风险**：远程代码执行，直接导致服务器失陷。 🏃 **行动**：建议**立即**排查并升级，尤其是暴露在公网的服务。