Vulnerabilidad en las comprobaciones de autorización en las API internas en el servidor Presto con una comunicación interna segura configurada (CVE-2020-15087)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/06/2020
Última modificación:
21/10/2022
Descripción
En Presto versiones anteriores a 337, los usuarios autenticados pueden omitir las comprobaciones de autorización al acceder directamente a las API internas. Esto afecta las instalaciones del servidor Presto con una comunicación interna segura configurada. Esto no afecta a las instalaciones que no han configurado una comunicación interna segura, ya que estas instalaciones son no seguras inherentemente. Esto solo afecta a las instalaciones del servidor Presto. Esto NO afecta a clientes como la CLI o el controlador JDBC. Esta vulnerabilidad se ha corregido en la versión 337. Además, este problema puede ser mitigado bloqueando el acceso de red a las API internas en el coordinador y trabajadores
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:prestosql:presto:*:*:*:*:*:*:*:* | 337 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página