【误差通告】Apache IoTDB UDF远程代码执行误差 (CVE-2024-24780)

宣布时间 2025-05-15

一、误差概述


误差名称

Apache IoTDB UDF远程代码执行误差

CVE   ID

CVE-2024-24780

误差类型

RCE

发明时间

2025-05-15

误差评分

9.8

误差品级

严重

攻击向量

网络

所需权限

使用难度

用户交互

不需要

PoC/EXP

未果真

在野使用

未发明


Apache IoTDB(Internet of Things Database)是一个专为物联网数据存储和处置惩罚设计的高效时序数据库。。它支持大规模数据写入、高吞吐量和低延迟盘问,,,,,,尤其适用于传感器数据、装备监控等应用场景。。IoTDB提供无邪的数据模子,,,,,,能够高效地处置惩罚时序数据的插入、盘问和压缩,,,,,,同时支持SQL兼容的盘问语言,,,,,,利便与其他系统集成。。它具有可扩展性,,,,,,支持漫衍式安排,,,,,,普遍用于工业、能源和智能家居等领域。。


2025年5月15日,,,,,,bevictor伟德集团VSRC监测到Apache官方宣布的清静通告,,,,,,指出Apache IoTDB保存远程代码执行误差。。攻击者可以通过不可信的URI注册恶意的用户界说函数(UDF),,,,,,进而执行恣意代码。。该误差影响Apache IoTDB版本1.0.0至1.3.4,,,,,,攻击者需要具备建设UDF的权限才华使用此误差。。乐成使用该误差可能导致系统遭受远程控制,,,,,,严重威胁系统清静。。误差级别严重,,,,,,误差评分9.8分。。


二、影响规模


1.0.0<=Apache IoTDB<1.3.4


三、清静步伐


3.1 升级版本


官方已宣布清静更新,,,,,,建议受影响用户尽快升级到Apache IoTDB 1.3.4版本。。


下载链接:https://iotdb.apache.org/


3.2 暂时步伐


暂无。。


3.3 通用建议


? 按期更新系统补丁,,,,,,镌汰系统误差,,,,,,提升效劳器的清静性。。
增强系统和网络的会见控制,,,,,,修改防火墙战略,,,,,,关闭非须要的应用端口或效劳,,,,,,镌汰将危险效劳(如SSH、RDP等)袒露到公网,,,,,,镌汰攻击面。。
使用企业级清静产品,,,,,,提升企业的网络清静性能。。
增强系统用户和权限治理,,,,,,启用多因素认证机制和最小权限原则,,,,,,用户和软件权限应坚持在最低限度。。
启用强密码战略并设置为按期修改。。


3.4 参考链接


https://lists.apache.org/thread/xphtm98v3zsk9vlpfh481m1ry2ctxvmj
https://www.tenable.com/cve/CVE-2024-24780