CVE-2026-42809

Nome do Software Vulnerável e Versões Afetadas Apache Polaris (versões afetadas não especificadas)

Descrição O Apache Polaris emite credenciais de armazenamento temporárias abrangentes durante a criação de tabelas em estágios antes de validar ou reservar o local efetivo da tabela. Isso permite que um invasor direcione o escopo dos dados e metadados da tabela acessíveis ao escolher um local de destino alcançável. Especificamente, se um chamador fornecer um location personalizado durante a criação do estágio e solicitar a emissão de credenciais, o sistema constrói credenciais de armazenamento delegadas imediatamente, sem realizar a validação normal de local ou verificações de sobreposição. Além disso, o fluxo de criação em estágio aceita write.data.path e write.metadata.path nas propriedades da solicitação, que atuam como substituições de local e são usadas para a emissão de credenciais sem validação prévia.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.