PT-2021-21335 · Druid · Druid
Abking
+2
·
Publicado
2021-09-24
·
Atualizado
2022-07-12
·
CVE-2021-36749
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Druid anteriores à 0.21.0
Descrição
O problema diz respeito ao sistema de ingestão do Druid, especificamente ao HTTP InputSource, que permite que usuários autenticados leiam dados de fontes não pretendidas, como o sistema de arquivos local, com os privilégios do processo do servidor Druid. Isso é problemático quando os usuários interagem com o Druid indiretamente por meio de um aplicativo que restringe o acesso a determinadas fontes de entrada. Os usuários poderiam contornar as restrições no nível do aplicativo passando uma URL de arquivo para o HTTP InputSource.
Recomendações
Para versões anteriores à 0.21.0, como solução temporária, considere restringir o acesso ao HTTP InputSource para minimizar o risco de exploração. Evite usar o HTTP InputSource em aplicativos que não pretendem permitir acesso ao sistema de arquivos local. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Authorization
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Druid