Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación en Apache Pinot

Fecha de publicación 04/03/2025
Identificador
INCIBE-2025-0115
Importancia
5 - Crítica
Recursos Afectados

Apache Pinot: versiones anteriores a 1.2.0.

Descripción

Sunflower, de Knownsec 404 Team, ha descubierto una vulnerabilidad de severidad crítica que permite a atacantes remotos eludir la autenticación en Apache Pinot.

Solución

Actualizar a la última versión del producto, Apache Pinot 1.3.0.

Detalle

La vulnerabilidad se encuentra en la clase AuthenticationFilter, que no realiza una neutralización adecuada de los caracteres especiales en una URI. Un atacante puede aprovechar este vulnerabilidad para eludir la autenticación en el sistema.

Se ha asignado el identificador CVE-2024-56325 para esta vulnerabilidad.

Listado de referencias
ZDI-25-109 - Apache Pinot Improper Neutralization of Special Elements Authentication Bypass Vulnerability
Etiquetas