Ivan Zlenko

**Nome do software vulnerável e versões afetadas** Apache Ozone versão 1.4.0 **Descrição** O problema está relacionado à autenticação incorreta de um ponto de extremidade HTTP no S3 Gateway do Apache Ozone. Isso permite que qualquer usuário Kerberos autenticado revogue e gere novamente os segredos S3 de qualquer outro usuário, mas somente se determinadas condições forem atendidas: `ozone.s3g.secret. http.enabled` estiver definido como true e o usuário configurado em `ozone.s3g.kerberos.principal` também estiver configurado em `ozone.s3.administrators` ou `ozone.administrators`. **Recomendações** Atualize para a versão 1.4.1 do Apache Ozone, que desativa o endpoint afetado. Como solução alternativa temporária, considere definir `ozone.s3g.secret.http.enabled` como false para impedir a exploração. Restrinja o acesso ao S3 Gateway para minimizar o risco de regeneração não autorizada de segredos S3.