Clave de respaldo débil en el autenticador de Kerberos de Apache
Apache Druid versiones anteriores a 34.0.0 (incluida).
Apache Druid ha informado sobre 1 vulnerabilidad de severidad crítica que afecta a la autenticación de Kerberos, y cuya explotación permitiría a un atacante predecir o descifrar mediante un ataque de fuerza bruta la clave utilizada para firmar las cookies de autenticación, así como permitir la falsificación de tokens o eludir la autenticación.
Se recomienda actualizar a la versión 35.0.0.
CVE-2025-59390: el autenticador Kerberos de Apache Druid usa un secreto de respaldo débil si no se configura 'druid.auth.authenticator.kerberos.cookieSignatureSecret'. Esta clave se genera con un aleatorio no seguro, además de que cada nodo genera su propia clave, causando inconsistencias y fallos de autenticacións. Esto permitiría a un atacante predecir o forzar el valor de la clave para falsificar cookies o eludir la autenticación.
