Apache IoTDB 的 grafana-connector 模块在 0.13.0 版本中发现未授权访问漏洞(CVE-2022-38370),攻击者可能通过 /query 和 /search 接口获取数据库内部结构。受影响的版本为 org.apache.iotdb:iotdb-grafana-connector@0.13.0。官方建议升级到 0.13.1 或更高版本以修复此问题。
棱镜七彩安全预警
近日网上有关于开源项目Apache IoTDB grafana-connector 模块存在未授权漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache IoTDB是针对时间序列数据收集、存储与分析一体化的数据管理引擎。
项目主页
代码托管地址
GitHub - apache/iotdb: Apache IoTDB
CVE编号
CVE-2022-38370
漏洞情况
Apache IoTDB是针对时间序列数据收集、存储与分析一体化的数据管理引擎。
在Apache IoTDB grafana-connector 0.13.0 版本中DatabaseConnectController存在未授权漏洞,攻击者可以未授权访问/query、/search接口,进而通过web服务可能会获取数据库的内部结构。
受影响的版本
org.apache.iotdb:iotdb-grafana-connector@[0.13.0, 0.13.1)
修复方案
升级org.apache.iotdb:iotdb-grafana-connector到 0.13.1 或更高版本
链接地址:
https://lists.apache.org/thread/kcpqgstvgf8sxy9ktxm1836nlwc8xy3j
https://github.com/apache/iotdb/commit/9f2e48b9b18e7efe6e774d38bdaf38c060eef61f
https://nvd.nist.gov/vuln/detail/CVE-2022-38370
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
