一、漏洞描述
近日,监测到 Apache Druid 任意文件读取漏洞细节及EXP在互联网公开,攻击者可通过将文件URL传递给HTTP InputSource,因Apache Druid默认情况下缺乏授权认证,即攻击者可构造恶意请求,在未授权情况下利用该漏洞读取任意文件,可导致服务器敏感信息泄漏。
Apache Druid是一个实时分析型数据库,旨在对大型数据集进行快速的查询分析(OLAP查询)。Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景,同时,Druid也通常被用来助力分析型应用的图形化界面,或者当做需要快速聚合的高并发后端API,Druid最适合应用于面向事件类型的数据。
严重等级:高危
二、影响范围
Apache Druid <= 0.21.1
三、修复建议
1.及时升级Apache Druid至最新安全版本:Apache Druid 0.22.0
下载地址:https://druid.apache.org/downloads.html