Apache Druid 远程代码执行 (CVE-2021-25646)

日期: 2021-01-19 | 影响软件: Apache Druid | POC: 否

漏洞描述

Apache Druid 包括执行用户提供的 JavaScript 的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0 及更低版本中,经过身份验证的用户可以构造传入的json串来控制一些敏感的参数发送恶意请求,利用 Apache Druid漏洞可以执行任意代码。

PoC代码

暂无

相关漏洞推荐