Druid
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.99217
Распределение по критичности
Критический
2
Высокий
2
Средний
10
Низкий
0
Затронутые диапазоны версий
0.17.0–36.0.00.18.0–30.0.1< 0.20.2< 0.22.0< 0.23.0< 30.0.1< 31.0.2< 35.0.0≤ 0.20.0≤ 0.22.1
Также сопоставлено как (исходные строки): druid
Топ уязвимостей
CVE-2026-23906Пострадавшие продукты и версии
* Апачи Друид
* Затрагиваемые версии: от 0.17.0 до 35.x (все версии до 36.0.0)
* Предпосылки: * broid-основное расширение безопасности включено
* Аутентификатор LDAP настроен
* Базовый сервер LDAP допускает анонимную привязку
Уязвимость Описание
Уязвимость обхода подлинности существует в Apache Druid при использовании расширения безопасности друида-базы с аутентификацией LDAP. Если базовый сервер LDAP настроен на анонимный
В связывания, злоумышленник может обойти аутентификацию, предоставив существующее имя пользователя с пустым паролем. Это позволяет несанкционированный доступ к ограниченным ресурсам друидов без действительных учетных данных.
Уязвимость проистекает из неправильной проверки ответов на аутентификацию LDAP, когда разрешены анонимные связи, эффективно рассматривая успех анонимной связи как действенную аутентификацию пользователя.
Влияние
Удаленный, неаутентифицированный злоумышленник может:
* Получите несанкционированный доступ к кластеру Apache Druid
* Доступ к конфиденциальным данным, хранящимся в источниках данных Druid
* Выполнять запросы и потенциально манипулировать данными
* Доступ к административным интерфейсам, если обойденная учетная запись имеет повышенные привилегии
* Полное нарушение конфиденциальности, целостности и доступности развертывания друидов
Смягчение последствий
Немедленное Смягчение Последостивления (не Требуется Друидное Обновление):
* Отменить анонимную привязку на вашем сервере LDAP. Это предотвращает использование уязвимости и является рекомендуемым немедленным действием.
Резолюция
* Обновите Apache Druid до версии 36.0.0 или более поздней версии, которая включает исправления для правильного отклонения анонимных попыток связывания LDAP.
CVE-2025-59390Аутентификатор Apache Druid Kerberos использует слабый запасной секрет, когда конфигурация «druid.auth.authenticator.kerberos.cookieSignatureSecret`» явно не установлена. В этом случае секрет генерируется с помощью `ThreadLocalRandom`,
который не является криптографически безопасным генератором случайных чисел. В этом
может позволить злоумышленнику предсказать или грубо привести силу секрет, используемый для подписания
cookie аутентификации, потенциально позволяющими подделку токенов или
Аутентификационный обход. Кроме того, каждый процесс генерирует свой
запасной секрет, приводя к непоследовательным секретам по уздам. В этом
вызывает сбои аутентификации в распределенном или мультиброкере
развертывания, эффективно приводящие к неправильно настроенным кластерам. Пользователи являются
рекомендуется настроить сильный `druid.auth.authenticator.kerberos.cookieSignatureSecret`
Эта проблема затрагивает Apache Druid: до 34.0.0.
Пользователям рекомендуется обновиться до версии 35.0.0, которая устраняет проблему, делая обязательным устанавливать «druid.auth.authenticator.kerberos.cookieSignatureSecret`) при использовании аутентификатора Kerberos. Услуги не смогут появиться, если секрет не установлен.
CVE-2021-26919Apache Druid позволяет пользователям читать данные из других систем баз данных с использованием JDBC. Эта функциональность предназначена для того, чтобы доверенные пользователи с необходимыми разрешениями могли настраивать справочные таблицы или отправлять задачи на загрузку данных. Драйвер MySQL JDBC поддерживает определенные свойства, которые, если не будут компенсированы, могут позволить злоумышленнику выполнять произвольный код с вредоносного MySQL-сервера, контролируемого хакерами, в процессах сервера Druid. Эта проблема была решена в Apache Druid 0.20.2.
CVE-2021-25646Apache Druid включает возможность выполнять предоставленный пользователем код JavaScript, встроенный в различные типы запросов. Эта функциональность предназначена для использования в высоконадежных средах и отключена по умолчанию. Однако в Druid 0.20.0 и ранее возможно, чтобы аутентифицированный пользователь отправил специально сконструированный запрос, который заставит Druid запустить код JavaScript, предоставленный пользователем, для этого запроса, независимо от конфигурации сервера. Это может быть использовано для выполнения кода на целевой машине с привилегиями процесса сервера Druid.
CVE-2024-45537Apache Druid позволяет пользователям с определенными разрешениями читать данные из других систем баз данных с использованием JDBC. Эта функциональность позволяет доверенным пользователям настраивать поиски Druid или запускать задачи приема данных. Druid также позволяет администраторам настраивать список разрешенных свойств, которые пользователи могут предоставлять для своих JDBC-соединений. По умолчанию этот список разрешенных свойств ограничивает пользователей только свойствами, связанными с TLS. Однако при настройке JDBC-соединения MySQL пользователи могут использовать специально созданную строку JDBC-соединения для предоставления свойств, которых нет в этом списке разрешений. Пользователи, не имеющие разрешения на настройку JDBC-соединений, не могут использовать эту уязвимость. CVE-2021-26919 описывает аналогичную уязвимость, которая была частично устранена в Apache Druid 0.20.2. Эта проблема устранена в Apache Druid 30.0.1.
CVE-2021-36749Во входной системе Druid InputSource используется для чтения данных из определенного источника данных. Однако HTTP InputSource позволяет аутентифицированным пользователям читать данные из других источников, чем предполагалось, таких как локальная файловая система, с привилегиями процесса сервера Druid. Это не является повышением привилегий, когда пользователи получают доступ к Druid напрямую, поскольку Druid также предоставляет Local InputSource, который обеспечивает тот же уровень доступа. Но это проблематично, когда пользователи взаимодействуют с Druid косвенно через приложение, которое позволяет пользователям указывать HTTP InputSource, но не Local InputSource. В этом случае пользователи могут обойти ограничение на уровне приложения, передав URL-адрес файла в HTTP InputSource. Ранее указывалось, что эта проблема была исправлена в версии 0.21.0 в соответствии с CVE-2021-26920, но она не была исправлена в версиях 0.21.0 или 0.21.1.
CVE-2021-26920Во внутренней системе Druid InputSource используется для чтения данных из определенного источника данных. Однако HTTP InputSource позволяет аутентифицированным пользователям читать данные из других источников, чем предполагалось, таких как локальная файловая система, с привилегиями процесса сервера Druid. Это не является повышением привилегий, когда пользователи обращаются к Druid напрямую, поскольку Druid также предоставляет Local InputSource, который предоставляет тот же уровень доступа. Но это проблематично, когда пользователи взаимодействуют с Druid косвенно через приложение, которое позволяет пользователям указывать HTTP InputSource, но не Local InputSource. В этом случае пользователи могут обойти ограничение на уровне приложения, передав URL-адрес файла в HTTP InputSource.
CVE-2020-1958Когда в Apache Druid 0.17.0 включена аутентификация LDAP, вызывающие API Druid с допустимым набором учетных данных LDAP могут обойти барьер фильтра credentialsValidator.userSearch, который определяет, разрешено ли допустимому пользователю LDAP проходить аутентификацию с помощью Druid. Они по-прежнему подлежат проверкам авторизации на основе ролей, если они настроены. Вызывающие API Druid также могут получать любые значения атрибутов LDAP пользователей, которые существуют на сервере LDAP, если эта информация видна серверу Druid. Это раскрытие информации не требует, чтобы сам вызывающий объект был допустимым пользователем LDAP.
BDU:2021-04514Уязвимость аналитической базы данных Apache Druid связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
BDU:2025-07571Уязвимость аналитической базы данных Apache Druid связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перенаправить пользователя на произвольный URL-адрес, провести атаку межсайтового скриптинга (XSS) или осуществить SSRF-атаку
CVE-2021-44791В Apache Druid 0.22.1 и более ранних версиях определенные специально созданные ссылки приводят к тому, что неэкранированные параметры URL-адреса отправляются обратно в HTML-ответах. Это позволяет выполнять отраженные XSS-атаки.
CVE-2025-27888Серьезность: средняя (5.8) / важная
Server-Side Request Forgery (SSRF), Неправильная Нейтрализация Ввода Во Время Генерации Веб-Страницы ('Межсайтовый сценарий'), URL перенаправление на ненадежный сайт ('Открытое перенаправление') уязвимость в Apache Druid.
Эта проблема затрагивает все предыдущие версии Druid.
При использовании прокси-менеджера Druid, запрос с специально подготовленным URL может быть использован для перенаправления запроса на произвольный сервер. Это может привести к XSS или XSRF. Для использования этого эксплойта требуется аутентификация пользователя. Прокси-менеджер включен в стандартной конфигурации Druid. Его можно отключить, чтобы смягчить эту уязвимость. Если прокси-менеджер отключен, некоторые функции веб-консоли не будут работать должным образом, но основная функциональность не затрагивается.
Пользователям рекомендуется обновиться до Druid 31.0.2 или Druid 32.0.1, которые исправляют проблему.
CVE-2024-45384Уязвимость Padding Oracle в расширении Apache Druid, druid-pac4j. Это может позволить злоумышленнику манипулировать файлом cookie сеанса pac4j. Эта проблема затрагивает Apache Druid версии 0.18.0 - 30.0.0. Поскольку расширение druid-pac4j является необязательным и отключено по умолчанию, установки Druid, не использующие расширение druid-pac4j, не подвержены этой уязвимости. Хотя нам не известно о способах значимой эксплуатации этой уязвимости, мы тем не менее рекомендуем обновиться до версии 30.0.1 или выше, которая устраняет эту проблему, и убедиться, что у вас есть надежный druid.auth.pac4j.cookiePassphrase в качестве меры предосторожности.
CVE-2022-28889В Apache Druid 0.22.1 и более ранних версиях сервер не устанавливал соответствующие заголовки для предотвращения кликджекинга. Druid 0.23.0 и более поздние версии предотвращают кликджекинг с помощью заголовка Content-Security-Policy.