یک آسیبپذیری با شناسه CVE-2023-41314 و شدت بالا (7.8) در Apache Doris شناسایی شده است که امکان حمله DoS یا بارگیری فایلهای دلخواه از گره FE را از طریق دسترسی بدون احراز هویت برای مهاجم فراهم میآورد. این آسیبپذیری متأثر از عملکرد ناشناخته فایل /api/snapshot و /api/get_log_file از مؤلفه API است. دستکاری ورودی ناشناخته منجر به آسیبپذیری احراز هویت نامناسب میشود. زمانیکه مهاجم ادعا میکند احراز هویت شده است، Apache Doris نمیتواند صحت این ادعا را به درستی ثابت کند. این آسیبپذیری محرمانگی، یکپارچگی و در دسترسپذیری را تحت تأثیر قرار میدهد.
محصولات تحت تأثیر
این آسیبپذیری محصول Apache Doris نسخههای 1.2.0 تا نسخه قبل از 2.0.3 را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Apache Doris به نسخه 2.0.3 اقدام نمایند.
منبع خبر:
https://lists.apache.org/thread/tgvpvz3yw7zgodl1sb3sv3jbbz8t5zb4
- 36