漏洞信息
# Apache Druid认证用户可以从恶意的MySQL数据库系统执行任意代码。
## 漏洞概述
Apache Druid 允许用户通过 JDBC 读取其他数据库系统中的数据。该功能主要面向具有适当权限的受信任用户,以设置查找或提交摄入任务。但 MySQL JDBC 驱动程序支持某些属性,若未加以防范,攻击者可以利用这些属性通过黑客控制的恶意 MySQL 服务器在 Druid 服务器进程中执行任意代码。
## 影响版本
Apache Druid 0.20.2 之前的版本
## 漏洞细节
MySQL JDBC 驱动程序中的某些未被防范的属性允许攻击者在 Druid 服务器进程中执行任意代码。这仅在用户提交摄入任务或使用 JDBC 设置查找时发生,并需要一个黑客控制的恶意 MySQL 服务器。
## 影响
攻击者可以通过一个黑客控制的恶意 MySQL 服务器,在 Druid 服务器进程中执行任意代码。这可能导致服务器被完全控制,包括但不限于权限提升、数据泄露或数据破坏。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Druid Authenticated users can execute arbitrary code from malicious MySQL database systems.
漏洞描述信息
Apache Druid allows users to read data from other database systems using JDBC. This functionality is to allow trusted users with the proper permissions to set up lookups or submit ingestion tasks. The MySQL JDBC driver supports certain properties, which, if left unmitigated, can allow an attacker to execute arbitrary code from a hacker-controlled malicious MySQL server within Druid server processes. This issue was addressed in Apache Druid 0.20.2
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Druid 安全漏洞
漏洞描述信息
Apache Druid是美国阿帕奇软件(Apache)基金会的一款使用Java语言编写的、面向列的开源分布式数据库。 Apache Druid 0.20.2 存在安全漏洞,攻击者可利用该漏洞可以在Druid服务器的MYSQL进程中执行任意代码。
CVSS信息
N/A
漏洞类别
其他