Apache · Apache Hive Metastore · CVE-2022-41137
**Nome do software vulnerável e versões afetadas**
Apache Hive Metastore (HMS) (versões afetadas não especificadas)
**Descrição**
O problema diz respeito ao uso do método `SerializationUtilities#deserializeObjectWithTypeInformation` ao filtrar e buscar partições, o que é inseguro e pode levar à execução remota de código (RCE), uma vez que permite a desserialização de dados arbitrários. Em implantações reais, a vulnerabilidade só pode ser explorada por usuários/clientes autenticados que tenham conseguido estabelecer uma conexão com o Metastore. Do ponto de vista da API, qualquer código que chame o método inseguro pode estar vulnerável, a menos que realize verificações prévias adicionais nos argumentos de entrada.
**Recomendações**
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.