Vulnerabilidad en Apache Hive (CVE-2023-35701)

Vulnerabilidad de control inadecuado de generación de código ("inyección de código") en Apache Hive. La vulnerabilidad afecta al componente del controlador JDBC de Hive y potencialmente puede provocar la ejecución de código arbitrario en la máquina/endpoint que ejecuta el controlador JDBC (cliente). El usuario malintencionado debe tener permisos suficientes para especificar/editar URL de JDBC en un endpoint que dependa del controlador Hive JDBC y el proceso del cliente JDBC debe ejecutarse con un usuario privilegiado para explotar completamente la vulnerabilidad. El atacante puede configurar un servidor HTTP malicioso y especificar una URL JDBC que apunte hacia este servidor. Cuando se intenta una conexión JDBC, el servidor HTTP malicioso puede proporcionar una respuesta especial con un payload personalizado que puede desencadenar la ejecución de ciertos comandos en el cliente JDBC. Este problema afecta a Apache Hive: desde 4.0.0-alpha-1 antes de 4.0.0. Se recomienda a los usuarios actualizar a la versión 4.0.0, que soluciona el problema.