CVE-2021-26919 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Druid 0.20.2 存在安全漏洞。 💥 **后果**：攻击者可在 Druid 服务器的 **MYSQL 进程**中执行 **任意代码**。

🔍 **缺陷点**：JDBC 连接属性缺乏严格的 **Allow list（白名单）** 限制。 📝 **CWE**：数据中未提供具体 CWE ID。

🎯 **受影响**：Apache Druid 版本 **0.20.2**。 🏢 **厂商**：Apache Software Foundation。

👮 **权限**：需具备 **认证用户** 权限。 📂 **数据**：可执行任意代码，可能导致 **服务器被控** 或 **数据泄露**。

🚪 **门槛**：**中等**。 🔑 **条件**：攻击者需要是 Druid 的 **认证用户**，且利用恶意 MySQL 数据库系统触发。

💻 **Exp**：有现成 PoC。 🔗 **链接**：GitHub 上 Threekiii 提供的 Awesome-POC 仓库中有详细利用文档。

🔎 **自查**：检查 Druid 版本是否为 **0.20.2**。 🛠 **扫描**：关注 JDBC 连接配置是否包含非白名单属性，特别是连接外部 MySQL 时的参数注入风险。

🛡️ **已修复**：官方已发布修复。 📅 **时间**：2021年3月底至4月初，通过合并 Pull Request #11047 和 #11100 实现。

⚠️ **规避**：若无法升级，需严格配置 JDBC 连接属性的 **Allow list**，仅允许必要属性，禁用危险参数。

🔥 **优先级**：**高**。 💡 **建议**：涉及 **远程代码执行 (RCE)**，一旦认证绕过或内部用户被控，后果严重，建议 **立即升级** 或应用缓解措施。