Vulnerabilidad en Databricks JDBC Driver (CVE-2024-49194)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

17/12/2024

Última modificación:

02/07/2025

Descripción

Databricks JDBC Driver anterior a la versión 2.6.40 podría permitir la ejecución remota de código (RCE) al activar una inyección JNDI a través de un parámetro URL de JDBC. La vulnerabilidad tiene su raíz en la gestión inadecuada del parámetro krbJAASFile. Un atacante podría explotar esta vulnerabilidad para lograr la ejecución remota de código en el contexto del controlador engañando a una víctima para que use una URL de conexión manipulada que use la propiedad krbJAASFile.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.30

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://kb.databricks.com/en_US/data-sources/security-bulletin-databricks-jdbc-driver-vulnerability-advisory-cve-2024-49194