PT-2026-36788 · Apache · Apache Atlas
Qx L
·
Publicado
2026-05-04
·
Atualizado
2026-05-06
·
CVE-2026-40563
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Atlas versões 0.8 até 2.4.0
Description
Existe um problema de controle inadequado de geração de código no endpoint de busca DSL, que aceita strings de consulta fornecidas pelo usuário. Um invasor pode alterar a lógica de travessia Gremlin usando caracteres permitidos pela gramática para acessar dados não pretendidos. Para as versões 2.0 e posteriores, este problema ocorre apenas quando o software é implantado com a configuração não padrão
atlas.dsl.executor.traversal=false.Recommendations
Atualizar para a versão 2.5.0.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Atlas