Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Hadoop (CVE-2018-1296)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
07/02/2019
Última modificación:
07/11/2023

Descripción

En Apache Hadoop, desde la versión 3.0.0-alpha1 hasta la 3.0.0, 2.9.0, desde la 2.8.0 hasta la 2.8.3 y desde la 2.5.0 hasta la 2.7.5, HDFS expone pares de atributos de valor/clave extendidos durante listXAttrs, verificando solo el acceso de búsqueda a nivel de ruta al directorio en lugar de los permisos de lectura a nivel de ruta al referente.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:hadoop:*:*:*:*:*:*:*:* 2.5.0 (incluyendo) 2.7.5 (incluyendo)
cpe:2.3:a:apache:hadoop:2.8.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:2.8.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:2.8.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:2.8.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:2.9.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:3.0.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:3.0.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:3.0.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:3.0.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:apache:hadoop:3.0.0:beta1:*:*:*:*:*:*