【漏洞预警】Apache IoTDB 远程代码执行漏洞(CVE-2024-24780)
【漏洞预警】Apache IoTDB 远程代码执行漏洞(CVE-2024-24780)
原创 聚焦网络安全情报 安全聚 2025-05-16 12:01
严
重
公
告
近日,安全聚实验室监测到 Apache IoTDB 存在远程代码执行漏洞 ,编号为:CVE-2024-24780,CVSS:9.8 具有创建 UDF 权限的攻击者可以通过提交恶意构造的不可信URI,在系统中注册并加载任意代码逻辑的用户定义函数,从而直接执行操作系统级别的任意命令。
01 漏洞描述
VULNERABILITY DESC.
Apache IoTDB是一个开源的、高性能的物联网数据管理系统,专门设计用于处理大规模的物联网数据。它提供了高效的时间序列数据存储和查询功能,支持多种数据类型和灵活的查询语言。Apache IoTDB具有优秀的扩展性和可靠性,能够处理来自各种物联网设备的海量数据,并提供实时的数据分析和可视化功能。作为一个Apache顶级项目,IoTDB致力于为物联网应用程序提供稳定、可靠且高性能的数据管理解决方案。该漏洞是由于未经信任的URI注册的用户定义函数导致远程代码执行。攻击者如果拥有创建UDF的权限,就可以从不受信任的URI注册恶意函数,从而执行任意代码。
02 影响范围
IMPACT SCOPE
1.0.0 <= Apache IoTDB < 1.3.4
03 安全措施
SECURITY MEASURES
目前厂商已发布可更新版本,建议用户尽快更新至
Apache IoTDB 的修复版本或更高的版本:
Apache IoTDB >= 1.3.4
下载链接:
https://iotdb.apache.org/Download/
04 参考链接
REFERENCE LINK
- https://lists.apache.org/thread/xphtm98v3zsk9vlpfh481m1ry2ctxvmj
05 技术支持
TECHNICAL SUPPORT
长按识别二维码,关注 “安全聚”
公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
联系我们
微信号:SecGat
关注安全聚,获取更多精彩文章。
END
HISTORY
/
往期推荐
【漏洞库支撑单位】成为CNNVD漏洞库支撑单位,助力网络安全!申请全流程解读,专业团队助您高效通过
【漏洞预警 | 已复现】Vite 任意文件读取漏洞(CVE-2025-31486)
【漏洞预警 | 已复现】Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)