Vulnerabilidad en Insightsoftware Hive JDBC (CVE-2024-45199)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

03/04/2025

Última modificación:

07/04/2025

Descripción

Insightsoftware Hive JDBC hasta la versión 2.6.13 presenta una vulnerabilidad de ejecución remota de código. Los atacantes pueden inyectar parámetros maliciosos en la URL de JDBC, lo que desencadena la inyección de JNDI durante el proceso cuando el controlador JDBC utiliza esta URL para conectarse a la base de datos. Esto puede provocar la ejecución remota de código.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://gist.github.com/azraelxuemo/d019ad079d540ef28870dbd9552a7c62