Apache Druid官方发布安全更新，修复了国内某安全团队上报的 Apache Druid 远程代码执行漏洞（CVE-2021-26919 ），漏洞等级为“高危”，腾讯安全专家建议受影响的用户尽快升级到安全版本。

漏洞描述：

2021年3月30日，Apache Druid官方发布安全更新，修复了 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证，攻击者可直接构造恶意请求执行任意代码，控制服务器。

Apache Druid 是用Java编写的面向列的开源分布式数据存储，旨在快速获取大量事件数据，并在数据之上提供低延迟查询。

漏洞编号：

CVE-2021-26919

漏洞等级：高危

受影响的版本：

Apache Druid < 0.20.2

安全版本：

Apache Druid 0.20.2

漏洞修复建议：

1、腾讯安全专家建议受影响的用户升级 Apache Druid 到安全版本。

2、为 Apache Druid 增加授权限制，设置 Apache Druid 仅对可信地址开放。

参考链接：

https://github.com/apache/druid/releases/tag/druid-0.20.2

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。