Doris
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.03137
Распределение по критичности
Критический
2
Высокий
3
Средний
2
Низкий
1
Затронутые диапазоны версий
1.2.0–2.0.52.1.0–2.1.8< 1.0.0< 1.2.8< 2.0.3
Также сопоставлено как (исходные строки): doris
Топ уязвимостей
CVE-2024-27438Уязвимость загрузки кода без проверки целостности в Apache Doris. Файлы драйвера jdbc, используемые для JDBC-каталога, не проверяются и могут привести к удаленному выполнению команд. Как только злоумышленник получает права на создание JDBC-каталога, он/она может использовать произвольный jar файл драйвера с непроверенным кодом. Этот код будет исполняться при инициализации каталога без каких-либо проверок. Эта проблема затрагивает Apache Doris: с 1.2.0 по 2.0.4. Пользователям рекомендуется обновиться до версии 2.0.5 или 2.1.x, которые исправляют проблему.
CVE-2023-41313Метод аутентификации в версиях Apache Doris до 2.0.0 был уязвим к атакам по времени.
Рекомендуем пользователям обновиться до версии 2.0.0 + или 1.2.8, которые исправляют эту проблему.
CVE-2023-41314API /api/snapshot и /api/get_log_file разрешали несанкционированный доступ. Это могло привести к DoS-атаке или получению произвольных файлов из FE-узла. Пожалуйста, обновитесь до версии 2.0.3, чтобы исправить эти проблемы.
CVE-2022-23942Apache Doris до версии 1.0.0 использовал жестко заданный ключ и IV для инициализации шифра, используемого для пароля ldap, что может привести к раскрытию информации.
BDU:2024-02377Уязвимость Backend-хранилища и Frontend-обработчика запросов Apache Doris связана с загрузкой кода без проверки его целостности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2024-48019Неправильное ограничение пути к ограниченной директории ('Path Traversal'), файлы или директории, доступные внешним сторонам, в Apache Doris.
Администраторы приложений могут читать произвольные
файлы из файловой системы сервера через обход пути.
Пользователям рекомендуется обновиться до версии 2.1.8, 3.0.3 или более поздних версий, которые исправляют эту проблему.
CVE-2024-26307Возможная уязвимость гонки в Apache Doris.
Некоторые коды используют метод `chmod()`. Этот метод подвергается риску, что кто-то переименует файл под пользователем и сделает chmod неверного файла.
Это теоретически может произойти, но влияние будет минимальным.
Эта проблема затрагивает Apache Doris: до 1.2.8, до 2.0.4.
Пользователям рекомендуется обновиться до версии 2.0.4, которая исправляет проблему.
BDU:2024-02449Уязвимость метода chmod() Backend-хранилища и Frontend-обработчика запросов Apache Doris связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на целостность защищаемой информации