Plataforma
java
Componente
org.apache.druid.extensions:druid-basic-security
Corregido en
36.0.0
36.0.0
Se ha descubierto una vulnerabilidad de bypass de autenticación en Apache Druid, específicamente en la extensión druid-basic-security cuando se utiliza la autenticación LDAP. Esta falla permite a atacantes no autenticados eludir los mecanismos de seguridad y acceder a recursos protegidos. La vulnerabilidad afecta a las versiones de Apache Druid desde la 0.17.0 hasta la 35.x (excluyendo la 36.0.0). Se recomienda actualizar a la versión 36.0.0 para corregir esta vulnerabilidad.
La explotación exitosa de esta vulnerabilidad permite a un atacante obtener acceso no autorizado a los datos y funcionalidades de Apache Druid. Dado que la autenticación se puede eludir, un atacante podría leer, modificar o eliminar datos sensibles, ejecutar comandos arbitrarios en el servidor Druid o incluso comprometer completamente el sistema. La extensión druid-basic-security, al estar habilitada, amplía la superficie de ataque, y la configuración de un servidor LDAP que permite bind anónimo agrava significativamente el riesgo. Esta vulnerabilidad podría tener un impacto similar a otras brechas de seguridad que involucran el bypass de autenticación, permitiendo el acceso a información confidencial y la manipulación de sistemas críticos.
Esta vulnerabilidad fue publicada el 2026-02-10. No se ha confirmado la explotación activa en entornos reales, pero la severidad crítica (CVSS 9.5) indica un alto riesgo. La existencia de una vulnerabilidad de bypass de autenticación en un componente ampliamente utilizado como Apache Druid la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations using Apache Druid for data analytics, particularly those relying on LDAP authentication and the druid-basic-security extension, are at risk. Shared hosting environments where multiple Druid instances share the same LDAP server are especially vulnerable, as a compromise of one instance could potentially impact others.
• linux / server: Monitor Druid logs for authentication attempts without valid credentials. Use journalctl -u druid to filter for authentication failures.
journalctl -u druid | grep "Authentication failed" • java / platform: Inspect Druid's security configuration files to ensure druid-basic-security is enabled and LDAP authentication is configured. Check LDAP server logs for anonymous bind attempts.
• generic web: Attempt to access Druid endpoints without authentication. If the LDAP server allows anonymous binds, authentication should fail, not succeed.
disclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
La mitigación principal para esta vulnerabilidad es actualizar Apache Druid a la versión 36.0.0 o superior, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda deshabilitar la extensión druid-basic-security si no es esencial. Como alternativa, configure el servidor LDAP para que requiera autenticación para bind, eliminando la posibilidad de bind anónimo. Implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes no autenticadas a los puntos finales de Druid también puede ayudar a reducir el riesgo. Monitorear los registros de acceso y auditoría de Druid en busca de intentos de acceso no autorizados es crucial.
Deshabilite el enlace anónimo en su servidor LDAP. Actualice Apache Druid a la versión 36.0.0 o posterior, que incluye correcciones para rechazar correctamente los intentos de enlace LDAP anónimos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23906 is a critical vulnerability in Apache Druid versions 0.17.0 through 35.x that allows attackers to bypass authentication if druid-basic-security is enabled, LDAP is configured, and the LDAP server permits anonymous binds.
You are affected if you are using Apache Druid versions 0.17.0 through 35.0.1 and have the druid-basic-security extension enabled with LDAP authentication and an LDAP server allowing anonymous binds.
Upgrade Apache Druid to version 36.0.0 or later. As a temporary workaround, disable the druid-basic-security extension, but be aware this removes all security features.
While no public exploits are currently known, the ease of exploitation suggests a high likelihood of exploitation if a proof-of-concept is developed.
Refer to the official Apache Druid security advisory for details: [https://druid.apache.org/security/CVE-2026-23906](https://druid.apache.org/security/CVE-2026-23906)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.