2024年1月23日,网上公开披露了一个标注为代码执行的Apache IotDB UDF代码执行漏洞(CVE-2023-46226),Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎,全称是Java表达式语言(Java Expression Language),可以在 java 程序中动态地运算一些表达式,请各位用户尽快安装漏洞补丁。
漏洞风险:在受影响版本中,由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。
风险等级:高风险。
影响范围: From(including)1.0.0 Up to(excluding)1.3.0
修复建议:
1、升级至安全版本及其以上。
2、利用安全组设置其仅对可信地址开放
进行安全更新方法:
https://lists.apache.org/thread/293b4ob65ftnfwyf62fb9zh8gwdy38hg
