PT-2026-55880 · Apache · Apache Iotdb
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-24014
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Apache IoTDB versões 1.3.3 até 2.0.7
Description
A interface RPC interna do Apache IoTDB DataNode utilizada para criar instâncias de Trigger não valida adequadamente o nome do JAR do Trigger enviado ao construir um caminho de arquivo. Se a porta RPC interna do DataNode estiver exposta a uma rede não confiável, um invasor pode usar sequências de path traversal no nome do JAR para gravar arquivos fora do diretório de instalação do Trigger designado. Isso permite a gravação arbitrária de arquivos com as permissões do processo IoTDB.
Recommendations
Atualizar para a versão 2.0.8.
Unrestricted File Upload
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Iotdb