漏洞信息
# N/A
## 漏洞概述
Aerospike Community Edition 4.9.0.5 版本允许未经身份验证的用户提交和执行用 Lua 编写的用户定义函数(UDFs),作为数据库查询的一部分。尽管该版本试图通过禁用 `os.execute()` 调用来限制代码执行,但这并不能完全防止漏洞的利用。
## 影响版本
- Aerospike Community Edition 4.9.0.5
## 漏洞细节
未经身份验证的用户可以通过精心构造的 UDF 来执行任意操作系统命令,这些命令将在集群所有节点上以运行 Aerospike 服务的用户权限级别运行。因此,攻击者可以在未授权的情况下执行系统命令。
## 漏洞影响
任何人通过网络访问都可以利用此漏洞在集群的所有节点上执行任意操作系统命令,这可能导致系统被完全控制。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
Aerospike Community Edition 4.9.0.5 allows for unauthenticated submission and execution of user-defined functions (UDFs), written in Lua, as part of a database query. It attempts to restrict code execution by disabling os.execute() calls, but this is insufficient. Anyone with network access can use a crafted UDF to execute arbitrary OS commands on all nodes of the cluster at the permission level of the user running the Aerospike service.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Aerospike 操作系统命令注入漏洞
漏洞描述信息
Aerospike是美国Aerospike公司的一套NoSQL数据库解决方案。 Aerospike(社区版)4.9.0.5版本中存在安全漏洞。攻击者借助特制的UDF利用该漏洞以当前用户权限在该集群的所有节点上执行任意的操作系统命令。
CVSS信息
N/A
漏洞类别
授权问题