CVE-2024-27438

Versões do Apache Doris de 1.2.0 a 2.0.4

O problema está relacionado ao download de código sem verificação de integridade no Apache Doris, o que pode resultar na execução remota de comandos. Um invasor autorizado a criar um catálogo JDBC pode usar um arquivo JAR de driver arbitrário com um trecho de código não verificado, que será executado durante a inicialização do catálogo sem qualquer verificação.

Para as versões 1.2.0 a 2.0.4 do Apache Doris, recomenda-se que os usuários atualizem para a versão 2.0.5 ou 2.1.x, que corrige o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de criação de catálogos JDBC para minimizar o risco de exploração. Além disso, evite usar arquivos jar de driver arbitrários com trechos de código não verificados nos pontos de extremidade da API afetados até que o problema seja resolvido.