1. 通告信息内容

2021年02月01日，安识高新科技A-Team精英团队检测到Apache Druid官方发布安全补丁，通告了一个远程控制代码执行漏洞，该漏洞序号为CVE-2021-25646，漏洞级别：高风险，因为 Apache Druid 默认设置状况下欠缺受权验证，网络攻击可立即结构故意请求实行随意编码。

2. 漏洞简述

Apache Druid包含实行客户出示的JavaScript的作用置入在多种类型请求中的编码。此作用在用以高信任感自然环境中，默认设置已被禁止使用。可是，在Druid 0.20.0及更低版中，历经身份认证的客户推送故意请求，运用Apache Druid漏洞能够实行随意编码。

3. 漏洞伤害

网络攻击可立即结构故意请求实行随意编码，操纵网络服务器。

4. 危害版本号

Apache Druid < 0.20.1

5. 解决方法

安识高新科技提议众多客户立即升级Apache Druid，下载地址为：

6. 时间线

【-】2021年01月29日 RedHat官方发布升级通告

【-】2021年02月01日 安识高新科技A-Team精英团队依据通告內容开展剖析

【-】2021年02月01日 安识高新科技A-Team精英团队公布安全性通告