Apache IoTDB w wersjach od 0.13.0 do 0.13.4 zawiera krytyczną podatność polegającą na deserializacji niezaufanych danych (CWE-502). Luka umożliwia zdalnemu, nieuwierzytelnionemu atakującemu przeprowadzenie ataku bez jakiejkolwiek interakcji użytkownika.
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Apache IoTDB.This issue affects Apache IoTDB: from 0.13.0 through 0.13.4. Users are recommended to upgrade to version 1.2.2, which fixes the issue.
Podatność wynika z nieprawidłowej obsługi deserializacji danych pochodzących z niezaufanych źródeł. Atakujący może przesłać specjalnie spreparowany payload do podatnego endpointu Apache IoTDB, który zostanie zdeserializowany bez odpowiedniej walidacji. Mechanizm ten może prowadzić do wykonania dowolnego kodu po stronie serwera.
Atakujący może uzyskać pełną kontrolę nad systemem, w tym poufność, integralność i dostępność danych — co odpowiada maksymalnym wynikom składowym CVSS (C:H/I:H/A:H). Atak nie wymaga uwierzytelnienia ani interakcji użytkownika.
Należy niezwłocznie zaktualizować Apache IoTDB do wersji 1.2.2 lub nowszej, która eliminuje opisaną podatność.
Apache IoTDB w wersjach od 0.13.0 do 0.13.4 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Iotdb
APPApache0.13.0 – 0.13.4
Powiązane podatności
Nieprawidłowa walidacja danych wejściowych w Apache IoTDB — RCE/injection
Krytyczna podatność w Apache IoTDB (CVE-2026-24015)
Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI
RCE w Apache IoTDB — zdalne wykonanie kodu bez uwierzytelnienia
Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...