漏洞信息
# OpenTSDB 远程代码执行漏洞
## 概述
由于对传递到遗留HTTP查询API的参数验证不足,可以将伪造的操作系统命令注入到多个参数中,并在OpenTSDB主机系统上执行恶意代码。
## 影响版本
无指定版本信息。
## 细节
这个问题源于之前披露的CVE-2020-35476漏洞修复不完整。虽然已为限制查询API的允许输入实施了正则表达式验证,但其实这一验证并未按预期工作,导致精心设计的命令能够绕过验证。
## 影响
攻击者可以通过伪造的命令执行恶意代码,从而危及OpenTSDB的主机系统。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Remote Code Execution in OpenTSDB
漏洞描述信息
Due to insufficient validation of parameters passed to the legacy HTTP query API, it is possible to inject crafted OS commands into multiple parameters and execute malicious code on the OpenTSDB host system. This exploit exists due to an incomplete fix that was made when this vulnerability was previously disclosed as CVE-2020-35476. Regex validation that was implemented to restrict allowed input to the query API does not work as intended, allowing crafted commands to bypass validation.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
OpenTSDB 操作系统命令注入漏洞
漏洞描述信息
OpenTSDB是一套开源的、可扩展的分布式时间序列数据库。 OpenTSDB 1.0.0版本至2.4.1版本存在安全漏洞,该漏洞源于对参数验证不充分。攻击者利用该漏洞可以在主机系统上执行任意代码。
CVSS信息
N/A
漏洞类别
授权问题