Chybeta From

**Nome do software vulnerável e versões afetadas** Versões do Druid anteriores à 0.21.0 **Descrição** O problema diz respeito ao sistema de ingestão do Druid, especificamente ao HTTP InputSource, que permite que usuários autenticados leiam dados de fontes não pretendidas, como o sistema de arquivos local, com os privilégios do processo do servidor Druid. Isso é problemático quando os usuários interagem com o Druid indiretamente por meio de um aplicativo que restringe o acesso a determinadas fontes de entrada. Os usuários poderiam contornar as restrições no nível do aplicativo passando uma URL de arquivo para o HTTP InputSource. **Recomendações** Para versões anteriores à 0.21.0, como solução temporária, considere restringir o acesso ao HTTP InputSource para minimizar o risco de exploração. Evite usar o HTTP InputSource em aplicativos que não pretendem permitir acesso ao sistema de arquivos local. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Apache Druid (versões afetadas não especificadas) **Descrição** O problema está relacionado a falhas no mecanismo de autorização do banco de dados analítico do Apache Druid. Isso permite que invasores remotos obtenham acesso não autorizado a informações protegidas. Especificamente, no sistema de ingestão do Druid, o `HTTP InputSource` permite que usuários autenticados leiam dados de fontes não pretendidas, como o sistema de arquivos local, com os privilégios do processo do servidor Druid. Isso pode ser problemático quando os usuários interagem com o Druid indiretamente por meio de um aplicativo que permite especificar o `HTTP InputSource`, mas não o `Local InputSource`, permitindo que eles contornem restrições no nível do aplicativo ao passar uma URL de arquivo para o `HTTP InputSource`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.