漏洞描述 influxdb是一款著名的时序数据库,其使用jwt作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。
相关漏洞推荐 POC CVE-2019-20933: InfluxDB <1.7.6 - Authentication Bypass POC CVE-2019-20933: InfluxDB <1.7.6 - Authentication Bypass