Vulnerabilidad en Apache Linkis (CVE-2025-59355)

Una vulnerabilidad.<br /> <br /> Cuando org.apache.linkis.metadata.util.HiveUtils.decode() falla al realizar la decodificación Base64, registra la cadena completa del parámetro de entrada en el log a través de logger.error(str + &amp;#39;decode failed&amp;#39;, e). Si el parámetro de entrada contiene información sensible como claves de Hive Metastore, las contraseñas en texto plano quedarán en los archivos de log cuando la decodificación falle, lo que resulta en una fuga de información.<br /> <br /> Alcance Afectado<br /> Componente: Campos sensibles en hive-site.xml (por ejemplo, javax.jdo.option.ConnectionPassword) u otros campos codificados en Base64.<br /> Versión: Apache Linkis 1.0.0 – 1.7.0<br /> <br /> Condiciones de Activación<br /> El valor del elemento de configuración es una cadena Base64 inválida.<br /> Los archivos de log son legibles por usuarios distintos de los administradores de hive-site.xml.<br /> <br /> Severidad: Baja<br /> La probabilidad de fallo en la decodificación Base64 es baja.<br /> La fuga solo se activa cuando los logs de nivel Error están expuestos.<br /> <br /> Remediación<br /> Apache Linkis 1.8.0 y versiones posteriores han reemplazado el log con contenido desensibilizado.<br /> logger.error(&amp;#39;URL decode failed: {}&amp;#39;, e.getMessage()); // Ya no se imprime str<br /> <br /> Se recomienda a los usuarios actualizar a la versión 1.8.0, que corrige el problema.