CVE-2022-39135

Versões do Apache Calcite anteriores à 1.32.0

O problema está relacionado aos operadores SQL EXISTS NODE, EXTRACT XML, XML TRANSFORM e EXTRACT VALUE, que não restringem as referências a Entidades Externas XML em sua configuração, tornando-os vulneráveis a um possível ataque de Entidade Externa XML (XXE). Qualquer cliente que exponha esses operadores, normalmente usando o dialeto Oracle ou o dialeto MySQL, é afetado por esse problema. A extensão da vulnerabilidade depende do usuário sob o qual o aplicativo está sendo executado.

Para versões do Apache Calcite anteriores à 1.32.0, considere atualizar para a versão 1.32.0 ou posterior, nas quais as Declarações de Tipo de Documento e a resolução de Entidades Externas XML estão desativadas nos operadores afetados. Como solução alternativa temporária, considere restringir o uso dos operadores SQL EXISTS NODE, EXTRACT XML, XML TRANSFORM e EXTRACT VALUE para minimizar o risco de exploração. Além disso, restrinja o acesso aos dialetos Oracle e MySQL para reduzir a superfície de ataque.