CVE-2024-54660

Nome do Software Vulnerável e Versões Afetadas Cloudera JDBC Connector for Hive versões anteriores à 2.6.26 Cloudera JDBC Connector for Impala versões anteriores à 2.6.35

Descrição Foi descoberta uma vulnerabilidade de injeção de JNDI, permitindo que atacantes injetem parâmetros maliciosos na URL JDBC. Isso pode levar à execução remota de código. A injeção de JNDI é possível através da propriedade de conexão JDBC krbJAASFile para o Serviço de Autenticação e Autorização Java (JAAS). O uso de parâmetros não confiáveis no krbJAASFile e/ou host remoto pode desencadear a injeção de JNDI na URL JDBC através do krbJAASFile.

Recomendações Para o Cloudera JDBC Connector for Hive versões anteriores à 2.6.26, atualize para a versão 2.6.26 ou posterior. Para o Cloudera JDBC Connector for Impala versões anteriores à 2.6.35, atualize para a versão 2.6.35 ou posterior. Como medida temporária, considere restringir o uso da propriedade krbJAASFile na conexão JDBC para minimizar o risco de exploração. Evite usar parâmetros não confiáveis no krbJAASFile e/ou host remoto.