一、概要

華為Cloud BU 星云防護(hù)實(shí)驗(yàn)室近期發(fā)現(xiàn)開源數(shù)據(jù)庫組件OpenTSDB一個(gè)API接口的多個(gè)參數(shù)存在遠(yuǎn)程命令執(zhí)行漏洞（CVE-2018-12972）。通過該漏洞可以進(jìn)行遠(yuǎn)程命令執(zhí)行，任意文件上傳，達(dá)到對(duì)目標(biāo)系統(tǒng)的控制。

利用漏洞： CVE-2018-12972

二、漏洞級(jí)別

漏洞級(jí)別：【嚴(yán)重】

（說明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

受影響版本：OpenTSDB 2.3.0、2.2.0、2.1.4版本。其他版本未測(cè)試，有可能存在此漏洞。

最新版本 2.3.1已修復(fù)此漏洞。

四、安全建議

將OpenTSDB升級(jí)到最新版本，OpenTSDB 2.3.1升級(jí)鏈接：https://github.com/OpenTSDB/opentsdb/releases

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。