UCloud-202103-006:Apache Druid 远程代码执行漏洞
- 发布时间 2021-03-30
- 更新时间 2021-03-30
- 漏洞等级 High
- CVE编号 CVE-2021-26919
由Java编写的面向列的开源分布式数据存储应用Apache Druid 在2021年3月30日官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,入侵服务器存在非常大的安全风险隐患.
影响范围
Apache Druid < 0.20.2
安全版本
Apache Druid 0.20.2
安全建议
1. 升级 Apache Druid 至安全版本
2. 为 Apache Druid 增加授权
3. 设置可信访问来源访问Apache Druid
参考链接
https://github.com/apache/druid/releases/tag/druid-0.20.2
