漏洞描述 OpenTSDB是一套开源的、可扩展的分布式时间序列数据库。 OpenTSDB through 2.4.0版本存在命令注入漏洞,该漏洞源于远程代码执行漏洞通过yrange参数中的命令注入,yrange值被写入tmp目录中的gnuplot文件中。然后通过mygnupload .sh shell脚本执行该文件。
相关漏洞推荐 POC CVE-2020-35476: OpenTSDB <=2.4.0 - Remote Code Execution POC CVE-2020-35476: OpenTSDB 2.4.0 Remote Code Execution POC opentsdb-status: OpenTSDB - Detect OpenTSDB 2.4.1未授权命令注入漏洞 OpenTSDB CVE-2023-25826 远程命令执行漏洞 OpenTSDB 命令注入漏洞(CVE-2020-35476) OpenTSDB 控制台 未授权访问 OpenTSDB web端 start 远程命令执行漏洞(CVE-2018-12972)