CVE-2026-23906
CriticalSummary
W Apache Druid występuje podatność na obejście uwierzytelniania, gdy używana jest rozszerzenie druid-basic-security z uwierzytelnianiem LDAP. Atakujący może obejść uwierzytelnianie, podając istniejącą nazwę użytkownika z pustym hasłem, co umożliwia dostęp do zastrzeżonych zasobów Druid bez ważnych poświadczeń.
Risk Assessment
Organizacja narażona jest na nieautoryzowany dostęp do wrażliwych danych i zasobów, co może prowadzić do poważnych naruszeń bezpieczeństwa. Potencjalne konsekwencje obejmują utratę danych oraz usunięcie lub modyfikację krytycznych informacji.
Recommendation
Zaleca się zaktualizowanie Apache Druid do wersji 36.0.0 lub nowszej oraz skonfigurowanie serwera LDAP tak, aby nie zezwalał na anonimowe połączenia. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
Affected Products and Versions * Apache Druid * Affected Versions: 0.17.0 through 35.x (all versions prior to 36.0.0) * Prerequisites: * druid-basic-security extension enabled * LDAP authenticator configured * Underlying LDAP server permits anonymous bind Vulnerability Description An authentication bypass vulnerability exists in Apache Druid when using the druid-basic-security extension with LDAP authentication. If the underlying LDAP server is configured to allow anonymous binds, an attacker can bypass authentication by providing an existing username with an empty password. This allows unauthorized access to otherwise restricted Druid resources without valid credentials. The vulnerability stems from improper validation of LDAP authentication responses when anonymous binds are permitted, effectively treating anonymou

