OpenTSDB远程命令执行漏洞【CVE-2018-12972】预警

一、概要

华为Cloud BU 防护实验室近期发现开源数据库组件OpenTSDB一个API接口的多个参数存在远程命令执行漏洞（CVE-2018-12972）。通过该漏洞可以进行远程命令执行，任意文件上传，达到对目标系统的控制。

利用漏洞： CVE-2018-12972

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

受影响版本：OpenTSDB 2.3.0、2.2.0、2.1.4版本。其他版本未测试，有可能存在此漏洞。

最新版本 2.3.1已修复此漏洞。

四、安全建议

将OpenTSDB升级到最新版本，OpenTSDB 2.3.1升级链接： https://github.com/OpenTSDB/opentsdb/releases

注意：修复漏洞前请将资料备份，并进行充分测试。