Influxdb 认证绕过漏洞预警

栏目: 数据库 · 发布时间: 5年前

内容简介:2019年 5月 31日,360CERT监测到 @Moti Harmats 在 Komodosec 发布了 InfluxDB 数据库认证绕过漏洞的详细信息。恶意的攻击者可以轻松的获得数据库完整的控制权限,可以任意执行增删改操作。360CERT 判断此次漏洞影响面广,危害严重。 InfluxDB官方已经及时完成版本更新迭代,建议广大用户及时更新,以免珍贵数据遭受损害。

Influxdb 认证绕过漏洞预警

0x00 漏洞背景

2019年 5月 31日,360CERT监测到 @Moti Harmats 在 Komodosec 发布了 InfluxDB 数据库认证绕过漏洞的详细信息。恶意的攻击者可以轻松的获得数据库完整的控制权限,可以任意执行增删改操作。

360CERT 判断此次漏洞影响面广,危害严重。 InfluxDB官方已经及时完成版本更新迭代,建议广大用户及时更新,以免珍贵数据遭受损害。

0x01 漏洞详情

@Moti Harmats 提及可以在如下路径进行用户名发现

https://:8086/debug/requests

Influxdb 认证绕过漏洞预警

但实际测试的时候,此处不一定有明显的用户名返回。

但 InfluxDB 默认的 admin 用户,除非配置特殊指定,一般都是直接存在的。

利用用户名生成 jwt token 后即可获得完整的用户权限。

首先不带 jwt token 进行请求

Influxdb 认证绕过漏洞预警

带上 jwt token

Influxdb 认证绕过漏洞预警

成功获得数据

尝试创建数据库

Influxdb 认证绕过漏洞预警

Influxdb 认证绕过漏洞预警

成功创建数据库

1.7.6 版本修复

Influxdb 认证绕过漏洞预警

0x02 影响版本

InfluxDB 1.7.5 及以下全版本

0x03 修复建议

InfluxDB 官方已经完成修复,并且迭代新版本

360CERT 建议您及时更新到 InfluxDB 1.7.6 版本

0x04 时间线

2019-05-31 360CERT监测到@Moti Harmats 发布漏洞信息

2019-05-31 360CERT发布预警

0x05 参考链接

  1. When all else fails – find a 0-day
  2. Authentication and authorization in InfluxDB | InfluxData Documentation

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

女人的起源

女人的起源

[英]伊莲·摩根 / 刘筠 / 上海译文出版社 / 2007-8 / 19.00元

《圣经》上说,上帝先创造了男人。女人,不过是他身上的一条肋骨。 以男性为中心的生物学家,则用人类起源于丛林并进化为以狩猎为生的肉食动物的学说,来证明女性无论在体力和智力上,都处于从属的地位。 对此,本书首次为女性在人类进化史中的平等地位据理力争。它开一代风气之先,力图解开人类,特 别是女性的演化和起源之谜;而它提供的答案,则从女性的角度对人类的史前史做出了推测性的重构,极富革命性和破坏......一起来看看 《女人的起源》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码