PT-2022-17682 · Apache · Apache Pinot
Haoruo Chen
·
Publicado
2022-09-23
·
Atualizado
2022-09-26
·
CVE-2022-26112
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 0.10.0 e anteriores do Apache Pinot
Descrição
O problema está relacionado ao suporte à função Groovy no endpoint de consulta do Pinot e na camada de ingestão em tempo real, o que representa um risco em ambientes desprotegidos. O número estimado de dispositivos potencialmente afetados não foi divulgado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
A vulnerabilidade se deve ao fato de o suporte à função Groovy estar habilitado por padrão em versões mais antigas.
Endpoints da API:
O endpoint de consulta do Pinot está afetado.
Parâmetros ou variáveis vulneráveis:
Nenhuma variável específica é mencionada.
Nomes de funções:
Nenhum nome de função específico é mencionado, mas o suporte à função Groovy está implicado.
Recomendações
Para as versões 0.10.0 e anteriores do Apache Pinot, atualize para a versão 0.11.0 ou posterior, nas quais o suporte à função Groovy está desativado por padrão.
Como solução alternativa temporária, considere desativar o suporte a scripts Groovy até que um patch esteja disponível.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Pinot