Vulnerabilidad en Apache Hive (CVE-2018-1284)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
05/04/2018
Última modificación:
17/06/2026
Descripción
En Apache Hive, de la versión 0.6.0 a la 2.3.2, un usuario malicioso podría emplear cualquier UDF xpath (xpath/xpath_string/xpath_boolean/xpath_number/xpath_double/xpath_float/xpath_long/xpath_int/xpath_short) para exponer el contenido de un archivo en la máquina que ejecuta HiveServer2, propiedad de un usuario HiveServer2 (normalmente hive) si hive.server2.enable.doAs=false.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:hive:*:*:*:*:*:*:*:* | 0.6.0 (incluyendo) | 2.3.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/103750
- https://lists.apache.org/thread.html/29184dbce4a37be2af36e539ecb479b1d27868f73ccfdff46c7174b4%40%3Cdev.hive.apache.org%3E
- http://www.securityfocus.com/bid/103750
- https://lists.apache.org/thread.html/29184dbce4a37be2af36e539ecb479b1d27868f73ccfdff46c7174b4%40%3Cdev.hive.apache.org%3E



