CVE-2025-27888: Apache Druid Flaw Opens Door to SSRF and XSS Risks in Real-Time Analytics Platforms
2025/03/23 SecurityOnline —Apache が明らかにしたのは、OLAP ダッシュボードや高速集計 API の強化に広く使用されている、リアルタイム分析データベース Apache Druid に存在する深刻なセキュリティ脆弱性に関する情報である。
この Apache Druid の脆弱性 CVE-2025-27888 は、バージョン 31.0.2/32.0.1 未満に影響を及ぼすものであり、サーバサイド・リクエスト・フォージェリ (SSRF)/クロスサイト・スクリプティング (XSS)/オープン・リダイレクトの欠陥の組み合わせとして分類されている。
Apache のアドバイザリには、「Druid 管理プロキシを使用している場合に、特別に細工された URL を持つリクエストの使用により、任意のサーバへのリダイレクトが発生する」と記されている。
この脆弱性を悪用する攻撃者は、その前提として認証が必要になるが、Druid のデフォルト・コンフィグレーションでは、管理プロキシが有効化されているため、リスクは増大する。この悪用に成功した攻撃者は、悪意の Web サイトへのリダイレクト/トークンの窃取/クロスサイト・リクエスト・フォージェリ (XSRF) などを引きこす機会を手にする。
Apache Druid は、イベント駆動型データのリアルタイム取り込みと、高速クエリを実現するために設計された、オープンソースのカラム指向分散データ・ストアであり、インタラクティブ・ダッシュボード/時系列の視覚化/分析 GUI の強化などのために多用されている。
この脆弱性は、管理プロキシが有効化されている、すべてのデプロイメントに影響を及ぼす。このコンフィグはデフォルトであるため、よくあるシナリオとなる。その一方で、プロキシを無効化するとリスクは軽減されるが、一部の Web コンソール機能が動作しなくなる可能性が生じる。
Apache のアドバイザリには、「管理プロキシが無効化されると、一部の Web コンソール機能が正常に動作しなくなるが、コア機能は影響を受けない」と記されている。
マルチユーザー環境または、Druid UI に対する外部からのアクセスを許可している組織は、特に注意が必要となる。この脆弱性を悪用する認証済の攻撃者に対して、フィッシング・ページへのユーザーのリダイレクトや、悪意のスクリプトの挿入などを許す可能性がある。
Apache Software Foundation は、すべてのユーザーに強く推奨するのは、Druid 31.0.2/32.0.1 への速やかなアップグレードにより、脆弱性 CVE-2025-27888 のリスクを軽減することだ。
Apache Druid の脆弱性 CVE-2025-27888 が FIX とのことです。この脆弱性は、デフォルト設定で管理プロキシが有効化されたまま運用している環境において、特にリスクが高まります。ご利用のチームは、いま一度、ご確認ください。よろしければ、Apache で検索も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.