【漏洞复现】StarRocks MPP数据库未授权访问漏洞

Nx01 产品简介

????????StarRocks 是一个MPP数据库，具备水平在线扩缩容，金融级高可用，兼容 MySQL 5.7 协议和 MySQL 生态，提供全面向量化引擎与多种数据源联邦查询等重要特性。StarRocks 致力于在全场景 OLAP 业务上为用户提供统一的解决方案，适用于对性能，实时性，并发能力和灵活性有较高要求的各类应用场景

Nx02 漏洞描述

????????StarRocks 数据库的8040端口提供了web页面，该页面存在未授权访问漏洞。

Nx03 产品主页

hunter-query: web.title="StarRocks"

Nx04 漏洞复现

访问以下接口未授权获取信息。

/mem_tracker
/memz
/varz

Nx05 修复建议

建议联系软件厂商进行处理。