CVE-2024-45537

Apache Druid allows users with certain permissions to read data from other database systems using JDBC. This functionality allows trusted users to set up Druid lookups or run ingestion tasks. Druid also allows administrators to configure a list of allowed properties that users are able to provide for their JDBC connections. By default, this allowed properties list restricts users to TLS-related properties only. However, when configuration a MySQL JDBC connection, users can use a particularly-crafted JDBC connection string to provide properties that are not on this allow list. Users without the permission to configure JDBC connections are not able to exploit this vulnerability. CVE-2021-26919 describes a similar vulnerability which was partially addressed in Apache Druid 0.20.2. This issue is fixed in Apache Druid 30.0.1.
References
Configurations

Configuration 1 (hide)

cpe:2.3:a:apache:druid:*:*:*:*:*:*:*:*

History

01 Oct 2024, 20:41

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 6.5
First Time Apache druid
Apache
CPE cpe:2.3:a:apache:druid:*:*:*:*:*:*:*:*
References () https://lists.apache.org/thread/2ovx1t77y6tlkhk5b42clp4vwo4c8cjv - () https://lists.apache.org/thread/2ovx1t77y6tlkhk5b42clp4vwo4c8cjv - Vendor Advisory
CWE NVD-CWE-noinfo

20 Sep 2024, 12:30

Type Values Removed Values Added
Summary
  • (es) Apache Druid permite a los usuarios con ciertos permisos leer datos de otros sistemas de bases de datos mediante JDBC. Esta funcionalidad permite a los usuarios de confianza configurar búsquedas de Druid o ejecutar tareas de ingesta. Druid también permite a los administradores configurar una lista de propiedades permitidas que los usuarios pueden proporcionar para sus conexiones JDBC. De forma predeterminada, esta lista de propiedades permitidas restringe a los usuarios solo a las propiedades relacionadas con TLS. Sin embargo, al configurar una conexión JDBC de MySQL, los usuarios pueden usar una cadena de conexión JDBC especialmente manipulada para proporcionar propiedades que no están en esta lista de permitidos. Los usuarios sin permiso para configurar conexiones JDBC no pueden aprovechar esta vulnerabilidad. CVE-2021-26919 describe una vulnerabilidad similar que se solucionó parcialmente en Apache Druid 0.20.2. Este problema se solucionó en Apache Druid 30.0.1.

17 Sep 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-17 19:15

Updated : 2024-10-01 20:41


NVD link : CVE-2024-45537

Mitre link : CVE-2024-45537

CVE.ORG link : CVE-2024-45537


JSON object : View

Products Affected

apache

  • druid
CWE
NVD-CWE-noinfo CWE-20

Improper Input Validation