Apache Doris MCP服务器:不当访问控制导致绕过"只读"模式
漏洞概述
CVE ID: CVE-2025-58337
严重程度: 中等
CVSS评分: 5.3
影响版本: < 0.6.0
修复版本: 0.6.0
技术细节
漏洞描述
Apache Doris MCP服务器存在不当访问控制漏洞,攻击者使用有效的只读账户可以绕过系统的只读模式限制。该漏洞使得本应被只读限制阻止的修改操作得以执行。
影响分析
- 绕过只读模式限制
- 具有只读访问权限的攻击者可能执行未授权的修改操作
修复建议
操作人员应立即升级到0.6.0版本,该版本包含了针对此漏洞的修复。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-58337
- https://lists.apache.org/thread/6tswlphj0pqn9zf25594r3c1vzvfj40h
- http://www.openwall.com/lists/oss-security/2025/11/04/5
- apache/doris-mcp-server@5923cc1
- https://security.snyk.io/vuln/SNYK-PYTHON-DORISMCPSERVER-13835132
CVSS v4基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 低
- 用户交互: 无
脆弱系统影响指标
- 机密性: 无影响
- 完整性: 低影响
- 可用性: 无影响
后续系统影响指标
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 无影响
弱点分类
CWE-284: 不当访问控制
产品未限制或错误限制未授权参与者对资源的访问。
其他信息
- EPSS评分: 0.028% (第7百分位)
- GHSA ID: GHSA-m35w-xx8c-6xc7
- 源代码: apache/doris-mcp-server