漏洞预警|Apache IoTDB grafana-connector 模块存在未授权漏洞

棱镜七彩安全预警

近日网上有关于开源项目Apache IoTDB grafana-connector 模块存在未授权漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache IoTDB是针对时间序列数据收集、存储与分析一体化的数据管理引擎。

项目主页

代码托管地址

GitHub - apache/iotdb: Apache IoTDB

CVE编号

CVE-2022-38370

漏洞情况

Apache IoTDB是针对时间序列数据收集、存储与分析一体化的数据管理引擎。

在Apache IoTDB grafana-connector 0.13.0 版本中DatabaseConnectController存在未授权漏洞,攻击者可以未授权访问/query、/search接口,进而通过web服务可能会获取数据库的内部结构。

受影响的版本

org.apache.iotdb:iotdb-grafana-connector@[0.13.0, 0.13.1)

修复方案

升级org.apache.iotdb:iotdb-grafana-connector到 0.13.1 或更高版本

链接地址:

https://lists.apache.org/thread/kcpqgstvgf8sxy9ktxm1836nlwc8xy3j

https://github.com/apache/iotdb/commit/9f2e48b9b18e7efe6e774d38bdaf38c060eef61f

https://nvd.nist.gov/vuln/detail/CVE-2022-38370

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值