Vulnerabilidad en Cloudera JDBC Connector (CVE-2024-54660)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

16/01/2025

Última modificación:

03/02/2025

Descripción

Se descubrió un problema de inyección JNDI en Cloudera JDBC Connector para Hive antes de la versión 2.6.26 y JDBC Connector para Impala antes de la versión 2.6.35. Los atacantes pueden inyectar parámetros maliciosos en la URL de JDBC, lo que activa la inyección JNDI durante el proceso cuando el controlador JDBC usa esta URL para conectarse a la base de datos. Esto podría provocar la ejecución remota de código. La inyección JNDI es posible a través de la propiedad de conexión JDBC krbJAASFile para el Servicio de autenticación y autorización de Java (JAAS). El uso de parámetros no confiables en krbJAASFile o en el host remoto puede activar la inyección JNDI en la URL de JDBC a través de krbJAASFile.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.70

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://www.blackhat.com/eu-24/briefings/schedule/index.html#a-novel-attack-surface-java-authentication-and-authorization-service-jaas-42179