Vulnerabilidad en Signing cookies (CVE-2024-23945)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/12/2024
Última modificación:
19/03/2025
Descripción
Signing cookies es una característica de seguridad de la aplicación que agrega una firma digital a los datos de las cookies para verificar su autenticidad e integridad. La firma ayuda a evitar que actores malintencionados modifiquen el valor de la cookie, lo que puede provocar vulnerabilidades de seguridad y explotación. El componente de servicio de Apache Hive expone accidentalmente la cookie firmada al usuario final cuando hay una discrepancia en la firma entre la cookie actual y la esperada. Exponer la firma de cookie correcta puede conducir a una mayor explotación. La lógica vulnerable de CookieSigner se introdujo en Apache Hive mediante HIVE-9710 (1.2.0) y en Apache Spark mediante SPARK-14987 (2.0.0). Los componentes afectados son los siguientes: * org.apache.hive:hive-service * org.apache.spark:spark-hive-thriftserver_2.11 * org.apache.spark:spark-hive-thriftserver_2.12
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/apache/hive
- https://github.com/apache/hive/commit/7638cb1a3b07713cc490aa2909a37037f89e08b4
- https://github.com/apache/spark
- https://github.com/apache/spark/commit/cf59b1f51c16301f689b4e0f17ba4dbd140e1b19
- https://issues.apache.org/jira/browse/HIVE-9710
- https://issues.apache.org/jira/browse/SPARK-14987
- https://lists.apache.org/thread/59r4mv7glrxpwkkdjvjbdljfpx3f5zzc
- https://lists.apache.org/thread/5o2ljnzrv8zvhjw9vy7b4rwjpc32hgfc
- http://www.openwall.com/lists/oss-security/2024/12/23/2