Jean-Baptiste Onofré

**Nome do Software Vulnerável e Versões Afetadas** Apache Polaris (versões afetadas não especificadas) **Descrição** O Apache Polaris emite credenciais de armazenamento temporárias abrangentes durante a criação de tabelas em estágios antes de validar ou reservar o local efetivo da tabela. Isso permite que um invasor direcione o escopo dos dados e metadados da tabela acessíveis ao escolher um local de destino alcançável. Especificamente, se um chamador fornecer um `location` personalizado durante a criação do estágio e solicitar a emissão de credenciais, o sistema constrói credenciais de armazenamento delegadas imediatamente, sem realizar a validação normal de local ou verificações de sobreposição. Além disso, o fluxo de criação em estágio aceita `write.data.path` e `write.metadata.path` nas propriedades da solicitação, que atuam como substituições de local e são usadas para a emissão de credenciais sem validação prévia. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Apache Polaris versão 1.4.0 **Descrição** O Apache Polaris permite o uso de caracteres literais `*` em nomes de namespaces e tabelas. Esses caracteres são reutilizados sem escape em padrões de recursos do S3 IAM e condições `s3:prefix` ao construir políticas de acesso temporárias do S3 para acesso delegado a tabelas. Como a correspondência de políticas do S3 IAM trata o `*` como um caractere curinga, as credenciais temporárias emitidas para uma tabela manipulada podem corresponder ao caminho de armazenamento de uma tabela diferente. Isso permite que um invasor leia arquivos de controle de metadados de outra tabela, liste prefixos de tabelas S3 e, se a delegação de gravação for concedida, crie ou exclua objetos sob o prefixo S3 de outra tabela. Este problema pode ser explorado mesmo que o invasor possua permissões mínimas, como `TABLE CREATE` e `TABLE WRITE DATA` com escopo de namespace em `*`, permitindo o acesso não autorizado a dados e metadados de outras tabelas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Apache Polaris versão 1.4.0 **Descrição** O Apache Polaris não escapa adequadamente os identificadores de namespace e tabela ao construir strings de Common Expression Language (CEL) para Credential Access Boundaries (CAB) do Google Cloud Storage (GCS). Isso permite que um nome de namespace ou tabela manipulado, contendo aspas simples e fragmentos CEL seguros para URI, rompa a string delimitada e altere a condição CEL. Consequentemente, credenciais GCS de curta duração destinadas a uma única tabela podem ser ampliadas para fornecer acesso a todo o bucket configurado. Isso possibilita ações não autorizadas, incluindo listar, ler, criar e excluir objetos em prefixos de outras tabelas ou prefixos externos não relacionados no mesmo bucket. **Recomendações** Para a versão 1.4.0, restrinja o uso de identificadores de namespace ou tabela manipulados até que uma correção seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Apache Polaris versões anteriores a 1.4.1 **Descrição** A alteração da propriedade da tabela `write.metadata.path` por meio de uma alteração de configurações do tipo `ALTER TABLE` permite que um usuário ignore o ramo de tempo de commit destinado a revalidar os locais de armazenamento. Este defeito permite que o Apache Polaris grave metadados da tabela em um local de armazenamento escolhido por um invasor antes que a validação do local ocorra. Se o catálogo estiver configurado com `polaris.config.allow.unstructured.table.location=true` e a lista de permissões `allowedLocations` for ampla o suficiente, isso pode levar à persistência do caminho malicioso no estado da tabela. Consequentemente, as APIs de carregamento de tabela e de credenciais podem emitir credenciais temporárias de armazenamento em nuvem para a área especificada pelo invasor, expondo, modificando ou corrompendo potencialmente dados e metadados dentro desse escopo de armazenamento, incluindo outras tabelas ou raízes de buckets. **Recomendações** Atualizar para a versão 1.4.1. Restringir a capacidade de alterar propriedades de tabelas. Impor listas de permissões de armazenamento rigorosas na configuração `allowedLocations`.