Apache IoTDB w wersjach od 1.0.0 do 1.2.2 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Ze względu na brak wymagań uwierzytelnienia i niską złożoność ataku stanowi poważne zagrożenie dla każdego eksponowanego publicznie systemu.
▸ Pokaż oryginał (EN)
Remote Code Execution vulnerability in Apache IoTDB.This issue affects Apache IoTDB: from 1.0.0 through 1.2.2. Users are recommended to upgrade to version 1.3.0, which fixes the issue.
Podatność sklasyfikowana jako CWE-94 (code injection) pozwala atakującemu na wstrzyknięcie i wykonanie arbitralnego kodu na podatnym serwerze Apache IoTDB. Atak może być przeprowadzony zdalnie, przez sieć, bez konieczności posiadania konta ani żadnej interakcji ze strony użytkownika. Szczegółowy mechanizm eksploitacji nie został ujawniony w opisie producenta.
Skuteczne wykorzystanie podatności daje atakującemu pełną kontrolę nad systemem — możliwe jest przejęcie danych, modyfikacja bazy szeregów czasowych oraz potencjalnie dalszy lateral movement w infrastrukturze.
Należy jak najszybciej zaktualizować Apache IoTDB do wersji 1.3.0 lub nowszej, która eliminuje opisaną podatność. Producent jednoznacznie rekomenduje tę wersję jako rozwiązanie problemu.
Apache IoTDB w wersjach od 1.0.0 do 1.2.2 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Iotdb
APPApache1.0.0 – 1.3.0 (bez)
Powiązane podatności
Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection
Krytyczna podatność w Apache IoTDB (CVE-2026-24015)
Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI
Deserializacja niezaufanych danych w Apache IoTDB (RCE)
Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...