CVE-2026-24014 in IoTDBinfo

Zusammenfassung

von VulDB • 06.07.2026

Die interne RPC-Schnittstelle von Apache IoTDB DataNode zum Erstellen von Trigger-Instanzen verwendet den hochgeladenen Namen der Trigger-JAR-Datei zur Erstellung eines Dateipfads ohne ausreichende Validierung. Wenn der interne RPC-Port des DataNode für ein nicht vertrauenswürdiges Netzwerk freigegeben ist, kann ein Angreifer Pfadtraversierungssequenzen im JAR-Namen nutzen, um Dateien außerhalb des vorgesehenen Trigger-Installationsverzeichnisses zu schreiben. Dies könnte das Schreiben beliebiger Dateien mit den Berechtigungen des IoTDB-Prozesses ermöglichen.

Dieses Problem betrifft Apache IoTDB: von Version 1.3.3 bis vor 2.0.8.

Es wird empfohlen, auf die Version 2.0.8 zu aktualisieren, die dieses Problem behebt.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Apache

Reservieren

20.01.2026

Veröffentlichung

06.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376449

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!