Vulnerabilidad en la propiedad de conexión "httpclient_impl" en el driver JDBC de Apache Calcite Avatica (CVE-2022-36364)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/07/2022

Última modificación:

03/08/2022

Descripción

El driver JDBC de Apache Calcite Avatica crea instancias de clientes HTTP basadas en nombres de clase proporcionados por medio de la propiedad de conexión "httpclient_impl"; sin embargo, el driver no verifica si la clase implementa la interfaz esperada antes de instanciarla, lo que puede conllevar a una ejecución de código cargado por medio de clases arbitrarias y, en casos raros, la ejecución de código remoto. Para explotar la vulnerabilidad: 1) el atacante necesita tener privilegios para controlar los parámetros de conexión JDBC; 2) y debe haber una clase vulnerable (constructor con parámetro URL y capacidad de ejecución de código) en el classpath. A partir de Apache Calcite Avatica 1.22.0, será comprobado que la clase implementa la interfaz esperada antes de invocar su constructor

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto