Podatność klasy Improper Input Validation (CWE-20, CWE-917) w Apache IoTDB umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych operacji poprzez sieć. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla środowisk produkcyjnych korzystających z dotkniętych wersji.
▸ Pokaż oryginał (EN)
Improper Input Validation vulnerability in Apache IoTDB. This issue affects Apache IoTDB: from 1.0.0 before 1.3.7, from 2.0.0 before 2.0.7. Users are recommended to upgrade to version 1.3.7 or 2.0.7, which fixes the issue.
Podatność wynika z braku odpowiedniej walidacji danych wejściowych dostarczanych przez użytkownika (CWE-20) w połączeniu z możliwością wstrzyknięcia wyrażeń lub instrukcji (CWE-917). Atakujący może przesłać specjalnie spreparowane żądanie do serwera Apache IoTDB bez konieczności uwierzytelnienia, logowania się ani interakcji po stronie ofiary. Wektor sieciowy (AV:N) i brak wymagań wstępnych (PR:N, AC:L, UI:N) sprawiają, że podatność jest szczególnie łatwa do wykorzystania.
Skuteczne wykorzystanie podatności może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu — atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować je lub doprowadzić do niedostępności usługi.
Należy niezwłocznie zaktualizować Apache IoTDB do wersji 1.3.7 (dla gałęzi 1.x) lub 2.0.7 (dla gałęzi 2.x), które zawierają poprawkę eliminującą podatność. Szczegółowe informacje dostępne są w referencjach producenta: https://lists.apache.org/thread/vopgv6y2ccw403b0zv7rvojjrh7x1j5p
Apache IoTDB w wersjach od 1.0.0 do 1.3.6 (przed 1.3.7) oraz od 2.0.0 do 2.0.6 (przed 2.0.7).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Iotdb
APPApache1.0.0 – 1.3.7 (bez)2.0.0 – 2.0.7 (bez)
Powiązane podatności
Krytyczna podatność w Apache IoTDB (CVE-2026-24015)
Apache IoTDB: RCE przez rejestrację złośliwej funkcji UDF z niezaufanego URI
RCE w Apache IoTDB — zdalne wykonanie kodu bez uwierzytelnienia
Deserializacja niezaufanych danych w Apache IoTDB (RCE)
Improper Authentication vulnerability in Apache Software Foundation Apache IoTDB.This issue affects Apache IoT...