-
Druid 任意文件读取 (CVE-2021-36749)
Druid 任意文件读取 (CVE-2021-36749)
漏洞描述
由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。
影响范围
Apache Druid <= 0.21.1
复现环境
VULFOCUS
复现过程
点击 Load data
选择 https,点击 Connext data
使用 file 协议读取文件信息
file:///tmp/- 1
-
相关阅读:
E9000服务器更改初始密码
算法训练 第四周
文本摘要实战:基于句子相似度矩阵构建图结构实现文本摘要 代码+数据
【iOS】—— autoreleasepool详解
Linux下的网络编程——C/S模型 UDP(三)
UWB测距原理及实现
Tomcat--Linux下如何配置2个或多个同时运行
图扑软件荣获第七届“创客中国”中小企业创新创业大赛优胜奖!
《软件方法》2023版第1章(09)基本共识上的沟通,SysML
【最全面详细解释】背包问题详解
- 原文地址:https://blog.csdn.net/weixin_51559599/article/details/134076994