H1Pmnh

**Nome do software vulnerável e versões afetadas** Versões do driver JDBC Apache Calcite Avatica anteriores à 1.22.0 **Descrição** O problema está relacionado à criação de instâncias de cliente HTTP com base em nomes de classes fornecidos por meio da propriedade de conexão `httpclient impl`. O driver não verifica se a classe implementa a interface esperada antes de instanciá-la, o que pode levar à execução de código carregado por meio de classes arbitrárias e, em casos raros, à execução remota de código. Para explorar essa vulnerabilidade, um invasor precisa ter privilégios para controlar os parâmetros de conexão JDBC e deve haver uma classe vulnerável no classpath. **Recomendações** Para versões anteriores à 1.22.0, atualize para o Apache Calcite Avatica 1.22.0 ou posterior, onde a classe é verificada para implementar a interface esperada antes de invocar seu construtor. Como solução alternativa temporária, considere restringir o acesso à propriedade de conexão `httpclient impl` para minimizar o risco de exploração.