Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las comprobaciones de autorización en las API internas en el servidor Presto con una comunicación interna segura configurada (CVE-2020-15087)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/06/2020
Última modificación:
21/10/2022

Descripción

En Presto versiones anteriores a 337, los usuarios autenticados pueden omitir las comprobaciones de autorización al acceder directamente a las API internas. Esto afecta las instalaciones del servidor Presto con una comunicación interna segura configurada. Esto no afecta a las instalaciones que no han configurado una comunicación interna segura, ya que estas instalaciones son no seguras inherentemente. Esto solo afecta a las instalaciones del servidor Presto. Esto NO afecta a clientes como la CLI o el controlador JDBC. Esta vulnerabilidad se ha corregido en la versión 337. Además, este problema puede ser mitigado bloqueando el acceso de red a las API internas en el coordinador y trabajadores

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:prestosql:presto:*:*:*:*:*:*:*:* 337 (excluyendo)