CRITICAL🇬🇧 English

CVE-2023-46226

RCE w Apache IoTDB — zdalne wykonanie kodu bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-01-15upd. 2025-06-20

Apache IoTDB w wersjach od 1.0.0 do 1.2.2 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Ze względu na brak wymagań uwierzytelnienia i niską złożoność ataku stanowi poważne zagrożenie dla każdego eksponowanego publicznie systemu.

Pokaż oryginał (EN)

Remote Code Execution vulnerability in Apache IoTDB.This issue affects Apache IoTDB: from 1.0.0 through 1.2.2. Users are recommended to upgrade to version 1.3.0, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (code injection) pozwala atakującemu na wstrzyknięcie i wykonanie arbitralnego kodu na podatnym serwerze Apache IoTDB. Atak może być przeprowadzony zdalnie, przez sieć, bez konieczności posiadania konta ani żadnej interakcji ze strony użytkownika. Szczegółowy mechanizm eksploitacji nie został ujawniony w opisie producenta.

Skutki

Skuteczne wykorzystanie podatności daje atakującemu pełną kontrolę nad systemem — możliwe jest przejęcie danych, modyfikacja bazy szeregów czasowych oraz potencjalnie dalszy lateral movement w infrastrukturze.

Mitygacja

Należy jak najszybciej zaktualizować Apache IoTDB do wersji 1.3.0 lub nowszej, która eliminuje opisaną podatność. Producent jednoznacznie rekomenduje tę wersję jako rozwiązanie problemu.

Kogo dotyczy

Apache IoTDB w wersjach od 1.0.0 do 1.2.2 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Iotdb

    APP
    Apache
    1.0.0 – 1.3.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-24713CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection

CVE-2026-24015CRITICAL9.8PL ✓ten sam produkt

Krytyczna podatność w Apache IoTDB (CVE-2026-24015)

CVE-2024-24780CRITICAL9.8PL ✓ten sam produkt

Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI

CVE-2023-51656CRITICAL9.8PL ✓ten sam produkt

Deserializacja niezaufanych danych w Apache IoTDB (RCE)

CVE-2023-24831CRITICAL9.8ten sam produkt

Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...