CRITICAL🇬🇧 English

CVE-2023-51656

Deserializacja niezaufanych danych w Apache IoTDB (RCE)

CVSS 9.8v3.1pub. 2023-12-21upd. 2025-02-13

Apache IoTDB w wersjach od 0.13.0 do 0.13.4 zawiera krytyczną podatność polegającą na deserializacji niezaufanych danych (CWE-502). Luka umożliwia zdalnemu, nieuwierzytelnionemu atakującemu przeprowadzenie ataku bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Apache IoTDB.This issue affects Apache IoTDB: from 0.13.0 through 0.13.4. Users are recommended to upgrade to version 1.2.2, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi deserializacji danych pochodzących z niezaufanych źródeł. Atakujący może przesłać specjalnie spreparowany payload do podatnego endpointu Apache IoTDB, który zostanie zdeserializowany bez odpowiedniej walidacji. Mechanizm ten może prowadzić do wykonania dowolnego kodu po stronie serwera.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, w tym poufność, integralność i dostępność danych — co odpowiada maksymalnym wynikom składowym CVSS (C:H/I:H/A:H). Atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Mitygacja

Należy niezwłocznie zaktualizować Apache IoTDB do wersji 1.2.2 lub nowszej, która eliminuje opisaną podatność.

Kogo dotyczy

Apache IoTDB w wersjach od 0.13.0 do 0.13.4 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Iotdb

    APP
    Apache
    0.13.0 – 0.13.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-24713CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection

CVE-2026-24015CRITICAL9.8PL ✓ten sam produkt

Krytyczna podatność w Apache IoTDB (CVE-2026-24015)

CVE-2024-24780CRITICAL9.8PL ✓ten sam produkt

Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI

CVE-2023-46226CRITICAL9.8PL ✓ten sam produkt

RCE w Apache IoTDB — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2023-24831CRITICAL9.8ten sam produkt

Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...