CVE-2026-24014 in IoTDBinformazioni

Riassunto

di VulDB • 06/07/2026

L'interfaccia RPC interna del DataNode di Apache IoTDB per la creazione di istanze Trigger utilizza il nome del file JAR del Trigger caricato per costruire un percorso di file senza una convalida sufficiente. Se la porta RPC interna del DataNode è esposta a una rete non attendibile, un attaccante potrebbe utilizzare sequenze di traversal dei percorsi nel nome del JAR per scrivere file al di fuori della directory di installazione prevista dei Trigger. Ciò potrebbe consentire la scrittura arbitraria di file con i permessi del processo IoTDB.

Questo problema interessa Apache IoTDB: dalle versioni 1.3.3 alla versione precedente a 2.0.8.

Si consiglia agli utenti di eseguire l'aggiornamento alla versione 2.0.8, che risolve il problema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Apache

Prenotare

20/01/2026

Divulgazione

06/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!