Vulnerabilidad en Apache Druid (CVE-2024-45537)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

17/09/2024

Última modificación:

14/03/2025

Descripción

Apache Druid permite a los usuarios con ciertos permisos leer datos de otros sistemas de bases de datos mediante JDBC. Esta funcionalidad permite a los usuarios de confianza configurar búsquedas de Druid o ejecutar tareas de ingesta. Druid también permite a los administradores configurar una lista de propiedades permitidas que los usuarios pueden proporcionar para sus conexiones JDBC. De forma predeterminada, esta lista de propiedades permitidas restringe a los usuarios solo a las propiedades relacionadas con TLS. Sin embargo, al configurar una conexión JDBC de MySQL, los usuarios pueden usar una cadena de conexión JDBC especialmente manipulada para proporcionar propiedades que no están en esta lista de permitidos. Los usuarios sin permiso para configurar conexiones JDBC no pueden aprovechar esta vulnerabilidad. CVE-2021-26919 describe una vulnerabilidad similar que se solucionó parcialmente en Apache Druid 0.20.2. Este problema se solucionó en Apache Druid 30.0.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:apache:druid::::::::		30.0.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://lists.apache.org/thread/2ovx1t77y6tlkhk5b42clp4vwo4c8cjv