漏洞描述
Apache IotDB 是针对时序数据的数据管理系统。
Apache IotDB 受影响版本中由于登录检查不严格,导致攻击者可能获取更高等级权限。
攻击者可利用该漏洞获取其他用户权限。
| 漏洞名称 | Apache IoTDB 0.13.0 权限控制不当漏洞 |
|---|---|
| 漏洞类型 | 认证机制不恰当 |
| 发现时间 | 2022/9/6 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-55567 |
| CVE编号 | CVE-2022-38369 |
| CNVD编号 | - |
影响范围
org.apache.iotdb:iotdb-server@[0.13.0, 0.13.1)
修复方案
将组件 org.apache.iotdb:iotdb-server 升级至 0.13.1 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-55567
https://github.com/apache/iotdb/pull/6514
https://github.com/apache/iotdb/commit/5f03723ff0c940ec68cfc53a0c491ceba80d2417
https://lists.apache.org/thread/7nk03ywvx3t3yjbcxzt7zy4nyc89y9b0
https://nvd.nist.gov/vuln/detail/CVE-2022-38369
订阅情报,并检测项目中存在的安全漏洞
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送。
官网地址:
https://www.oscs1024.com/?src=csdn
1、如何订阅情报
点击官网首页的订阅情报即可配置群聊机器人
订阅文档:https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn
2、如何检测项目漏洞
点击漏洞详情页右下方【免费使用】,即可快速体验墨菲安全专业的检测能力。提供代码安全检测、许可证合规评估等能力,目前支持 CLI 、IDE插件、GitHub多种检测方式,欢迎使用。
核心引擎已开源:https://github.com/murphysecurity/murphysec
