漏洞情报中心

安全众测创导者，漏洞测试与安全服务领导者。链接全球安全专家资源与自有团队，为用户提供高效、透明的新一代安全服务解决方案。

安全测试

安全运营

安全应急

安全咨询

特色服务

安全测试

斗象各类安全测试服务通过利用白帽和自有安全服务人员，从多种视角使用多种黑白灰盒测试技术手段，对企业传统和物联网软硬件以及内部网络等进行深入评估和分析，帮助企业更好地理解其安全现状，优化安全策略，修补安全漏洞、提升整体安全防御能力。

可信安全众测

红队测试服务

Web应用安全测试

移动App安全测试

小程序/公众号安全测试

源代码安全审计

内网渗透与评估

固件安全分析

IoT安全测试

车联网安全测试与评估

申请试用

返回

详细信息

漏洞信息

影响产品

解决方案

漏洞描述

Apache IoTDB (Internet of Things Database) 是一款时序数据库管理系统，可以为用户提供数据收集、存储和分析等服务。Apache IoTDB 在 0.13.0-0.13.4 版本中存在反序列化漏洞。攻击者可以通过Sync Tool进行反序列化操作，从而导致远程代码执行。

漏洞危害

攻击者可以通过Sync Tool进行反序列化操作，从而导致远程代码执行。

参考链接

官方公告：https://lists.apache.org/thread/zy3klwpv11vl5n65josbfo2fyzxg3dxc

CVE-2023-51656：https://nvd.nist.gov/vuln/detail/CVE-2023-51656

advisory-database · GitHub：http://www.openwall.com/lists/oss-security/2023/12/21/5

advisory-database · GitHub：https://github.com/apache/iotdb

TVPR 关键指标

7.9

相关情报信息

Apache IoTDB iotdb-web-workbench 未授权访问漏洞(CVE-2023-24830)
2023-01-30 17:15:00
（CVE-2025-48459）Apache IoTDB 任意反序列化漏洞
2025-09-24 16:15:32
（CVE-2025-48392）Apache IoTDB漏洞
2025-09-24 16:15:31
（CVE-2025-26864）Apache IoTDB OpenIdAuthorizer敏感信息泄露漏洞
2025-05-14 19:16:28
（CVE-2025-26795）Apache IoTDB JDBC驱动敏感信息泄露漏洞
2025-05-14 19:16:26
(CVE-2024-24780) Apache IoTDB UDF组件因未验证URI导致的远程代码执行漏洞
2025-05-14 19:15:47
Apache IoTDB UDTFJexl 远程代码执行漏洞(CVE-2023-46226)
2024-01-15 00:00:00
Apache IoTDB 拒绝服务漏洞(CVE-2022-43766)
2022-10-26 16:15:00
Apache IoTDB 会话登录检查漏洞(CVE-2022-38369)
2022-09-05 10:15:00
Apache IoTDB 未授权访问(CVE-2022-38370)
2022-09-05 10:15:00
FasterXML Jackson Databind XML外部实体注入漏洞
2020-12-04 00:00:00
Apache IoTDB远程代码执行漏洞
2020-04-28 00:00:00

时间轴

2023-12-21 00:00:00
斗象应急响应团队对外发布安全通告