PT-2021-22485 · Apache · Apache Ozone
Marton Elek
·
Publicado
2021-11-19
·
Atualizado
2023-12-22
·
CVE-2021-39235
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Ozone anteriores à 1.2.0
Descrição
O problema ocorre porque o Ozone Datanode no Apache Ozone não verifica o parâmetro de modo de acesso do token de bloco. Como resultado, usuários autenticados que possuam um token de bloco READ válido podem realizar qualquer operação de gravação no mesmo bloco.
Recomendações
Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao token de bloco para impedir operações de gravação não autorizadas.
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Ozone