CVE-2025-62728

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Hive de 4.1.0 a 4.2.0

Descrição Existe uma vulnerabilidade de injeção de SQL no Servidor Metastore do Hive (HMS) ao processar solicitações de exclusão de estatísticas de colunas por meio das APIs Thrift. Esta vulnerabilidade só pode ser explorada por usuários autorizados ou aplicativos permitidos a chamar diretamente as APIs Thrift. Em implantações típicas, o acesso ao HMS é limitado a um pequeno número de aplicativos, o que reduz o risco de exploração. O código vulnerável não é alcançável quando a propriedade metastore.try.direct.sql está definida como false. A vulnerabilidade envolve o processamento de solicitações através dos seguintes: Endpoints da API: APIs Thrift Parâmetros ou Variáveis Vulneráveis: Solicitações para excluir estatísticas de colunas.

Recomendações Atualize para a versão 4.2.0 para resolver o problema. Se uma atualização não for possível, defina a propriedade metastore.try.direct.sql como false se as APIs Thrift do HMS estiverem expostas publicamente.