CRITICAL🇬🇧 English

CVE-2026-23906

Apache Druid – pominięcie uwierzytelnienia LDAP przez anonimowy bind

CVSS 9.8v3.1pub. 2026-02-10upd. 2026-02-12

Apache Druid w wersjach 0.17.0–35.x (przy włączonej integracji LDAP) zawiera krytyczną podatność auth bypass, która pozwala nieuwierzytelnionemu atakującemu uzyskać dostęp do klastra poprzez podanie istniejącej nazwy użytkownika z pustym hasłem. Skuteczne wykorzystanie umożliwia pełne przejęcie kontroli nad środowiskiem Druid.

Pokaż oryginał (EN)

Affected Products and Versions * Apache Druid * Affected Versions: 0.17.0 through 35.x (all versions prior to 36.0.0) * Prerequisites: * druid-basic-security extension enabled * LDAP authenticator configured * Underlying LDAP server permits anonymous bind                                                                                                                                                    Vulnerability Description An authentication bypass vulnerability exists in Apache Druid when using the druid-basic-security extension with LDAP authentication. If the underlying LDAP server is configured to allow anonymous binds, an attacker can bypass authentication by providing an existing username with an empty password. This allows unauthorized access to otherwise restricted Druid resources without valid credentials. The vulnerability stems from improper validation of LDAP authentication responses when anonymous binds are permitted, effectively treating anonymous bind success as valid user authentication. Impact A remote, unauthenticated attacker can: * Gain unauthorized access to the Apache Druid cluster * Access sensitive data stored in Druid datasources * Execute queries and potentially manipulate data * Access administrative interfaces if the bypassed account has elevated privileges * Completely compromise the confidentiality, integrity, and availability of the Druid deployment                                                                                                                                                                                     Mitigation   Immediate Mitigation (No Druid Upgrade Required):                                                                                                                                                   * Disable anonymous bind on your LDAP server. This prevents the vulnerability from being exploitable and is the recommended immediate action. Resolution * Upgrade Apache Druid to version 36.0.0 or later, which includes fixes to properly reject anonymous LDAP bind attempts.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji odpowiedzi serwera LDAP w rozszerzeniu druid-basic-security, gdy serwer LDAP jest skonfigurowany tak, by dopuszczać anonimowe połączenia (anonymous bind). Atakujący wysyła żądanie uwierzytelnienia z poprawną nazwą istniejącego konta oraz pustym hasłem. Apache Druid błędnie interpretuje sukces anonimowego bind jako potwierdzenie tożsamości użytkownika i przyznaje dostęp bez weryfikacji rzeczywistych poświadczeń. Atak jest możliwy wyłącznie, gdy jednocześnie włączone jest rozszerzenie druid-basic-security, skonfigurowany jest LDAP authenticator oraz serwer LDAP zezwala na anonimowy bind.

Skutki

Zdalny, nieuwierzytelniony atakujący może uzyskać nieautoryzowany dostęp do klastra Apache Druid, odczytywać wrażliwe dane ze źródeł danych, wykonywać i potencjalnie manipulować zapytaniami, a w przypadku kont z podwyższonymi uprawnieniami — przejąć pełną kontrolę nad środowiskiem, naruszając poufność, integralność i dostępność całego wdrożenia.

Mitygacja

Natychmiastowe działanie (bez konieczności aktualizacji Druid): wyłączyć obsługę anonimowego bind na serwerze LDAP — eliminuje to możliwość wykorzystania podatności. Docelowe rozwiązanie: zaktualizować Apache Druid do wersji 36.0.0 lub nowszej, która zawiera poprawkę odrzucającą anonimowe próby bind na poziomie aplikacji.

Kogo dotyczy

Apache Druid w wersjach 0.17.0 do 35.x (wszystkie wersje wcześniejsze niż 36.0.0), przy spełnieniu następujących warunków: włączone rozszerzenie druid-basic-security, skonfigurowany LDAP authenticator oraz serwer LDAP zezwalający na anonimowy bind.

Uwagi

Podatność wymaga łącznego spełnienia trzech warunków środowiskowych (druid-basic-security, LDAP authenticator, anonymous bind na serwerze LDAP). Wyłączenie anonimowego bind po stronie serwera LDAP jest skutecznym obejściem niewymagającym natychmiastowej aktualizacji Druid.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Druid

    APP
    Apache
    0.17.0 – 36.0.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-59390CRITICAL9.8PL ✓ten sam produkt

Apache Druid: słaby generator losowy umożliwia bypass uwierzytelnienia Kerberos

CVE-2021-26919HIGH8.8ten sam produkt

Apache Druid allows users to read data from other database systems using JDBC. This functionality is to allow ...

CVE-2021-25646HIGH8.8ten sam produkt

Apache Druid includes the ability to execute user-provided JavaScript code embedded in various types of reques...

CVE-2025-27888MEDIUM5.8ten sam produkt

Severity: medium (5.8) / important Server-Side Request Forgery (SSRF), Improper Neutralization of Input Durin...

CVE-2024-45384MEDIUM5.3ten sam produkt

Padding Oracle vulnerability in Apache Druid extension, druid-pac4j. This could allow an attacker to manipulat...