PT-2020-5583 · Apache · Apache Iotdb

Publicado

2020-04-27

Atualizado

2022-01-06

CVE-2020-1952

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões 0.8.0 a 0.8.2 do Apache IoTDB

Versões 0.9.0 a 0.9.1 do Apache IoTDB

Descrição

O problema está relacionado à exposição da porta JMX 31999 sem certificação no Apache IoTDB, permitindo a execução remota de código. Quando o IoTDB é iniciado, essa porta fica exposta, permitindo que os clientes executem código remotamente.

Recomendações

Para as versões 0.8.0 a 0.8.2 do Apache IoTDB, considere desativar a porta JMX 31999 até que um patch esteja disponível.

Para as versões 0.9.0 a 0.9.1 do Apache IoTDB, considere desativar a porta JMX 31999 até que um patch esteja disponível.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

BDU:2021-01204

CVE-2020-1952

GHSA-WC6F-CJCP-CC33

Produtos afetados

Apache Iotdb

PT-2020-5583 · Apache · Apache Iotdb

CVE-2020-1952

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6