Apache IoTDB 中的错误授权漏洞(CVE-2023-30771)

CVE编号

CVE-2023-30771

利用情况

暂无

补丁情况

N/A

披露时间

2023-04-17
漏洞描述
iotdb-web-workbench是Apache IoTDB的一个可选组件,提供了数据库的web控制台。
该项目授权版本存在授权问题,由于iotdb-web-workbench验证JWT存在缺陷,攻击者可通过伪造JSON Web Token 绕过iotdb-web-workbench的身份验证和权限控制进而导致未经授权的用户访问和操作数据库。
解决建议
将组件 org.apache.iotdb.admin:workbench 升级至 0.13.4 及以上版本
参考链接
http://www.openwall.com/lists/oss-security/2023/04/18/7
https://lists.apache.org/thread/08nc3dr6lshfppx0pzmz5vbggdnzpojb
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache iotdb 0.13.3 -
CVSS3评分
9.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-863 授权机制不正确
阿里云安全产品覆盖情况