漏洞概述 Datadog Vector 0.54.0 存在一个安全漏洞,允许攻击者通过控制事件数据中的 和 参数,将数据写入到非预期的 ClickHouse 表中。该漏洞发生在 和 中,具体表现为: 1. 模板渲染: 和 作为模板值在 中被渲染。 2. URL 编码问题:渲染后的值传递给 函数,该函数构建 HTTP 查询参数。 值通过 处理,但 值未进行相同的转义处理。 3. SQL 注入:如果事件数据中的 字段被设置为 ,则生成的 SQL 查询可能变为 ,导致数据被写入到 表。 影响范围 数据完整性:攻击者可以控制事件数据,将数据写入到非预期的 ClickHouse 表中,导致数据完整性问题。 日志注入:在日志、审计或检测管道中,攻击者可以实现跨表日志注入、审计污染或插入到下游监控工作流中。 修复方案 转义处理:确保 和 值在构建 SQL 查询时进行适当的转义处理,防止 SQL 注入。 输入验证:对输入的事件数据进行严格验证,确保 和 值符合预期格式。 POC 代码 json { "message": "owned", "target_db": "prod", "admin_logs": "admin_logs" FORMAT JSONEachRow -- }