Apache Doris MCP服务器:不当访问控制导致绕过"只读"模式
漏洞概述
CVE ID: CVE-2025-58337
GHSA ID: GHSA-m35w-xx8c-6xc7
严重程度: 中等
CVSS评分: 5.3
受影响版本
- 受影响版本: < 0.6.0
- 已修复版本: 0.6.0
技术细节
漏洞描述
由于不当的访问控制机制,拥有有效只读账户的攻击者可以绕过Doris MCP服务器的只读模式限制。该漏洞允许攻击者执行本应被只读限制阻止的修改操作。
影响分析
- 绕过只读模式: 攻击者利用只读访问权限可能执行未经授权的修改操作
- 完整性影响: 低级别完整性影响
攻击向量
- 攻击向量: 网络
- 攻击复杂度: 低
- 权限要求: 低权限(只读账户)
- 用户交互: 无需用户交互
修复建议
操作员建议操作: 尽快升级到0.6.0版本(该版本包含修复程序)
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-58337
- https://lists.apache.org/thread/6tswlphj0pqn9zf25594r3c1vzvfj40h
- http://www.openwall.com/lists/oss-security/2025/11/04/5
技术特征
弱点类型: CWE-284 - 不当访问控制
产品: 未能正确限制未授权参与者对资源的访问
CVSS v4指标
漏洞系统影响指标:
- 机密性: 无影响
- 完整性: 低影响
- 可用性: 无影响
后续系统影响指标:
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 无影响