PT-2024-10170 · Databricks · Databricks Jdbc Driver
Jian Zhou
+2
·
Publicado
2024-10-13
·
Atualizado
2025-07-02
·
CVE-2024-49194
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do driver JDBC da Databricks anteriores à 2.6.40
Descrição
O problema está relacionado ao tratamento inadequado do parâmetro
krbJAASFile, permitindo que um invasor remoto execute código arbitrário ao acionar uma injeção JNDI por meio de um parâmetro de URL JDBC. Isso poderia potencialmente levar à execução remota de código no contexto do driver. Um invasor poderia explorar essa vulnerabilidade induzindo a vítima a usar uma URL de conexão maliciosa que utilize a propriedade krbJAASFile.Recomendações
Para versões do driver JDBC da Databricks anteriores à 2.6.40, atualize para a versão 2.6.40 ou posterior para resolver o problema.
Como solução alternativa temporária, considere aplicar as alterações recomendadas na configuração da JVM até que um patch esteja disponível.
Restrinja o acesso ao parâmetro
krbJAASFile para minimizar o risco de exploração.Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Databricks Jdbc Driver