当前位置: 首页 > article >正文

【漏洞复现】Apache Druid RCE (CVE-2023-25194) 漏洞

文章目录

  • 声明
  • 一、漏洞简介
  • 二、影响范围
  • 三、环境部署
  • 四、漏洞利用
  • 五、修复建议

声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。


一、漏洞简介

Apache Kafka 是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流,Kafka Connect 是一种用于在kafka和其它系统之间可扩展、可靠的流式传数据的工具。

在Apache Druid使用Apache Kafka加载数据的场景下,未经身份认证的远程攻击者可配置Kafka连接属性,从而利用CVE-2023-25194漏洞触发JNDI注入,最终执行任意代码。(其他使用Apache Kafka Connect的产品也可能受CVE-2023-25194漏洞影响)

二、影响范围

0.19.0 <= Apache Druid <= 25.0.0
2.3.0 <= Apache Kafka版本 <= 3.3.2

三、环境部署

使用vulhub进行部署环境

访问漏洞地址: http://127.0.0.1:8888


http://www.kler.cn/a/383066.html

相关文章:

  • 数据库系统原理:数据恢复与备份策略
  • Marscode AI辅助编程
  • 用Python PySide6 复刻了两软件UI 做下练习
  • vuex如何进行状态管理?
  • 算法,递归和迭代
  • UE5仿漫威争锋灵蝶冲刺技能
  • Linux与Windows中的流量抓取工具:wireshark与tcpdump
  • 防火墙|WAF|漏洞|网络安全
  • 【LeetCode】【算法】215. 数组中的第K个最大元素
  • 内外连接【MySQL】
  • 机器学习(三)——决策树(附核心思想、重要算法、概念(信息熵、基尼指数、剪枝处理)及Python源码)
  • Flutter UI构建渲染(4)
  • Windows10/11下python脚本自动连接WiFi热点
  • STM32启动文件分析
  • Axure是什么软件?全方位解读助力设计入门
  • 实践是认识的来源
  • GPU的内存是什么?
  • 继承——面向对象编程的基石
  • 【C++】lambda表达式的理解与运用(C++11新特性)
  • [C++ 核心编程]笔记 4.4.2 类做友元
  • 【Vue 2.x】之指令详解
  • Nat Med 病理AI系列|人工智能在肝病临床试验中的应用·顶刊精析·24-11-06
  • QT开发:掌握现代UI动画技术:深入解析QML和Qt Quick中的动画效果
  • 用PyQt 5 开发的雷达基数据可视化软件
  • 关于c指针的一些说明
  • 第2篇 使用Intel FPGA Monitor Program创建基于ARM处理器的汇编或C语言工程<二>