OpenTSDB命令注入漏洞

　　CNVD-IDCNVD-2020-72736

　　公开日期2020-12-19

　　危害级别高 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

　　影响产品OpenTSDB OpenTSDB <=2.4.0

　　CVE IDCVE-2020-35476

　　漏洞描述OpenTSDB是一个基于Hbase的分布式、可扩展的时间序列数据库(TSDB)。

　　OpenTSDB 2.4.0及更早版本存在命令执行漏洞。攻击者可通过yrange参数注入命令利用该漏洞实现远程代码执行。

　　漏洞类型通用型漏洞

　　参考链接https://nvd.nist.gov/vuln/detail/CVE-2020-35476

　　漏洞解决方案厂商尚未提供漏洞修复方案，请关注厂商主页更新：

　　https://github.com/OpenTSDB/opentsdb

　　厂商补丁(无补丁信息)

　　验证信息(暂无验证信息)

　　报送时间2020-12-17

　　收录时间2020-12-19

　　更新时间2020-12-19

　　漏洞附件(无附件)

　　在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。