PT-2020-14175 · Presto · Presto
Electrum
·
Publicado
2020-06-30
·
Atualizado
2022-10-21
·
CVE-2020-15087
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Presto anteriores à 337
Descrição
Usuários autenticados podem contornar as verificações de autorização acessando diretamente as APIs internas. Esse problema afeta instalações do servidor Presto com comunicação interna segura configurada. Não afeta instalações sem comunicação interna segura, pois estas são inerentemente inseguras. Este problema afeta apenas instalações do servidor Presto e não afeta clientes como a CLI ou o driver JDBC.
Recomendações
Para versões anteriores à 337, atualize para a versão 337 ou posterior para resolver o problema.
Como solução alternativa temporária, considere bloquear o acesso de rede às APIs internas no coordenador e nos workers para mitigar o risco de exploração.
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Presto