Vulnerabilidad en Hive Metastore Server (HMS) (CVE-2025-62728)

Vulnerabilidad de inyección SQL en Hive Metastore Server (HMS) al procesar solicitudes de eliminación de estadísticas de columnas a través de las API T.hrift. La vulnerabilidad solo puede ser explotada por usuarios/aplicaciones de confianza/autorizados a los que se les permite llamar directamente a las API Thrift. En la mayoría de las implementaciones del mundo real, solo unas pocas aplicaciones (por ejemplo, Hiveserver2) pueden acceder a HMS, por lo que la vulnerabilidad no es explotable. Además, no se puede acceder al código vulnerable cuando la propiedad metastore.try.direct.sql está establecida en false. Este problema afecta a Apache Hive: desde la versión 4.1.0 hasta la 4.2.0. Se recomienda a los usuarios que actualicen a la versión 4.2.0, que corrige el problema. Se recomienda a los usuarios que no puedan actualizar directamente que establezcan la propiedad metastore.try.direct.sql en false si las API Thrift de HMS están expuestas al público en general.