https://github.com/Threekiii/Awesome-POC/blob/master/%E6%95%B0%E6%8D%AE%E5%BA%93%E6%BC%8F%E6%B4%9E/Apache%20Druid%20LoadData%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%20CVE-2021-36749.md

标题： Apache Druid 安全漏洞 (CVE-2021-36749)
描述：Apache Druid是美国阿帕奇（Apache）基金会的一款使用Java语言编写的、面向列的开源分布式数据库。 Apache Druid 存在安全漏洞，该漏洞源于在 Druid ingestion system 中，InputSource 用于从某个数据源读取数据。但是，HTTP InputSource 允许经过身份验证的用户以 Druid 服务器进程的权限从其他来源读取数据，例如本地文件系统。 这不是用户直接访问 Druid 时的权限提升，因为 Druid 还提供了 Local InputSourc

 # Apache Druid LoadData 任意文件读取漏洞 CVE-2021-36749

## 漏洞描述

由于用户指定 HTTP InputSource 没有做出限制，可以通过将文件 URL

...