CVE-2022-36364

Versões do driver JDBC Apache Calcite Avatica anteriores à 1.22.0

O problema está relacionado à criação de instâncias de cliente HTTP com base em nomes de classes fornecidos por meio da propriedade de conexão httpclient impl. O driver não verifica se a classe implementa a interface esperada antes de instanciá-la, o que pode levar à execução de código carregado por meio de classes arbitrárias e, em casos raros, à execução remota de código. Para explorar essa vulnerabilidade, um invasor precisa ter privilégios para controlar os parâmetros de conexão JDBC e deve haver uma classe vulnerável no classpath.

Para versões anteriores à 1.22.0, atualize para o Apache Calcite Avatica 1.22.0 ou posterior, onde a classe é verificada para implementar a interface esperada antes de invocar seu construtor. Como solução alternativa temporária, considere restringir o acesso à propriedade de conexão httpclient impl para minimizar o risco de exploração.