Apache IoTDB是一个设计用于管理工业物联网时间序列数据的系统,它面临着一系列安全漏洞,这些漏洞可能会暴露敏感信息并允许远程执行代码。
CVE-2025-26864和CVE-2025-26795强调风险:敏感信息的暴露。该漏洞位于Apache IoTDB及其JDBB驱动程序的OpenID身份验证机制中。此漏洞可能允许未经授权访问敏感数据并将此类数据插入日志文件。
受影响的Apache IoTDB版本包括0.10.0至1.3.3和2.0.1-beta之前2.0.2。同样,Apache IoTDB JDB 驱动程序版本 0.10.0 到 1.3.3 和 2.0.1-beta 之前也容易受到攻击。
CVE-2024-24780 对远程执行代码构成重大威胁。vulnerability由于 Apache IoTDB 处理用户定义函数 (UDF) 中不受信任的 URI 的方式,此漏洞存在。具有创建 UDF 权限的攻击者可以从不受信任的源注册恶意功能,从而导致远程代码执行。
此漏洞在 1.3.4 之前影响 Apache IoTDB 版本 1.0.0。
强烈建议Apache IoTDB的用户立即采取行动来减轻这些风险。升级到 1.3.4 和 2.0.2 版本至关重要,vulnerabilities因为这些版本包含针对已识别漏洞的修复。通过应用这些更新,组织可以保护其物联网数据和系统免受潜在攻击。
发表评论
您还未登录,请先登录。
登录