一、 漏洞 CVE-2024-24780 基础信息
漏洞信息
# Apache IoTDB:用户定义函数不受信任的URI导致远程代码执行漏洞
## 概述
Apache IoTDB 中存在一个远程代码执行漏洞,攻击者可以通过创建不信任URI的用户定义函数(UDF)来注册恶意函数,从而执行任意代码。
## 影响版本
Apache IoTDB 版本 1.0.0 到 1.3.4 之前的版本受到影响。
## 细节
攻击者只要拥有创建 UDF 的权限,就可以从不受信任的URI中注册恶意函数,进而执行任意代码。
## 影响
推荐用户升级到版本 1.3.4,此版本已修复该问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache IoTDB: Remote Code Execution with untrusted URI of User-defined function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Remote Code Execution with untrusted URI of UDF vulnerability in Apache IoTDB. The attacker who has privilege to create UDF can register malicious function from untrusted URI.
This issue affects Apache IoTDB: from 1.0.0 before 1.3.4.
Users are recommended to upgrade to version 1.3.4, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache IoTDB 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache IoTDB是美国阿帕奇(Apache)基金会的一款为时间序列数据设计的集成数据管理引擎,它能够提供数据收集、存储和分析服务等。 Apache IoTDB 1.0.0至1.3.4之前版本存在安全漏洞,该漏洞源于UDF不受信任URI导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-24780 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/Threekiii/Awesome-POC/blob/master/%E6%95%B0%E6%8D%AE%E5%BA%93%E6%BC%8F%E6%B4%9E/Apache%20IoTDB%20UDF%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2024-24780.md | POC详情 |
三、漏洞 CVE-2024-24780 的情报信息
-
标题: CVE-2024-24780: Apache IoTDB: Remote Code Execution with untrusted URI of User-defined function-Apache Mail Archives -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-24780