CVE-2024-45537

Nome do software vulnerável e versões afetadas:

Versões do Apache Druid anteriores à 30.0.1

Descrição:

A vulnerabilidade permite que usuários com determinadas permissões contornem restrições nas conexões JDBC, podendo ler dados de outros sistemas de banco de dados. Isso é possível criando uma string de conexão JDBC específica ao configurar uma conexão MySQL, permitindo que os usuários forneçam propriedades que não constam na lista de permissões. A funcionalidade em questão é usada para configurar pesquisas no Druid ou executar tarefas de ingestão. Usuários sem permissão para configurar conexões JDBC não podem explorar essa vulnerabilidade.

Recomendações:

Para versões anteriores à 30.0.1, atualize para o Apache Druid 30.0.1 para resolver o problema. Como solução alternativa temporária, considere restringir a configuração de conexões JDBC apenas a administradores confiáveis e certifique-se de que a lista de propriedades permitidas seja cuidadosamente revisada e restrita às propriedades necessárias.