Wukong

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Hive de 4.1.0 a 4.2.0 **Descrição** Existe uma vulnerabilidade de injeção de SQL no Servidor Metastore do Hive (HMS) ao processar solicitações de exclusão de estatísticas de colunas por meio das APIs Thrift. Esta vulnerabilidade só pode ser explorada por usuários autorizados ou aplicativos permitidos a chamar diretamente as APIs Thrift. Em implantações típicas, o acesso ao HMS é limitado a um pequeno número de aplicativos, o que reduz o risco de exploração. O código vulnerável não é alcançável quando a propriedade `metastore.try.direct.sql` está definida como false. A vulnerabilidade envolve o processamento de solicitações através dos seguintes: **Endpoints da API**: APIs Thrift **Parâmetros ou Variáveis Vulneráveis**: Solicitações para excluir estatísticas de colunas. **Recomendações** Atualize para a versão 4.2.0 para resolver o problema. Se uma atualização não for possível, defina a propriedade `metastore.try.direct.sql` como false se as APIs Thrift do HMS estiverem expostas publicamente.