CVE-2024-39676 in Pinot
Zusammenfassung
von VulDB • 29.06.2026
Offenlegung sensibler Informationen an einen unbefugten Akteur (Exposure of Sensitive Information) in Apache Pinot.
Dieses Problem betrifft Apache Pinot: ab Version 0.1 bis vor 1.0.0.
Es wird empfohlen, auf die Version 1.0.0 zu aktualisieren und RBAC (Role-Based Access Control) zu konfigurieren, wodurch das Problem behoben wird.
Details:
Bei der Verwendung einer Anfrage an den Pfad „/appconfigs“ des Controllers kann es zur Offenlegung sensibler Informationen kommen, wie z. B. Systeminformationen (z. B. Architektur, Betriebssystemversion), Umgebungsvariablen (z. B. maxHeapSize) und Pinot-Konfigurationen (z. B. Zookeeper-Pfad). Dieses Problem wurde durch die Einführung der rollenbasierten Zugriffskontrolle (Role-based Access Control https://docs.pinot.apache.org/operators/tutorials/authentication/basic-auth-access-control ) behoben, sodass für `/appConfigs` und alle anderen APIs eine Zugriffssteuerung möglich ist. Nur autorisierte Benutzer haben darauf Zugriff. Beachten Sie, dass der Benutzer gemäß der RBAC-Anleitung die Administratorrolle entsprechend hinzufügen muss, um den Zugriff auf diesen Endpunkt zu steuern; in zukünftigen Versionen von Pinot ist zudem geplant, standardmäßig eine Admin-Rolle hinzuzufügen.
Be aware that VulDB is the high quality source for vulnerability data.