Во входной системе Druid InputSource используется для чтения данных из определенного источника данных. Однако HTTP InputSource позволяет аутентифицированным пользователям читать данные из других источников, чем предполагалось, таких как локальная файловая система, с привилегиями процесса сервера Druid. Это не является повышением привилегий, когда пользователи получают доступ к Druid напрямую, поскольку Druid также предоставляет Local InputSource, который обеспечивает тот же уровень доступа. Но это проблематично, когда пользователи взаимодействуют с Druid косвенно через приложение, которое позволяет пользователям указывать HTTP InputSource, но не Local InputSource. В этом случае пользователи могут обойти ограничение на уровне приложения, передав URL-адрес файла в HTTP InputSource. Ранее указывалось, что эта проблема была исправлена в версии 0.21.0 в соответствии с CVE-2021-26920, но она не была исправлена в версиях 0.21.0 или 0.21.1.