CVE-2024-39676 in Pinotinfo

Zusammenfassung

von VulDB • 29.06.2026

Offenlegung sensibler Informationen an einen unbefugten Akteur (Exposure of Sensitive Information) in Apache Pinot.

Dieses Problem betrifft Apache Pinot: ab Version 0.1 bis vor 1.0.0.

Es wird empfohlen, auf die Version 1.0.0 zu aktualisieren und RBAC (Role-Based Access Control) zu konfigurieren, wodurch das Problem behoben wird.

Details:

Bei der Verwendung einer Anfrage an den Pfad „/appconfigs“ des Controllers kann es zur Offenlegung sensibler Informationen kommen, wie z. B. Systeminformationen (z. B. Architektur, Betriebssystemversion), Umgebungsvariablen (z. B. maxHeapSize) und Pinot-Konfigurationen (z. B. Zookeeper-Pfad). Dieses Problem wurde durch die Einführung der rollenbasierten Zugriffskontrolle (Role-based Access Control https://docs.pinot.apache.org/operators/tutorials/authentication/basic-auth-access-control ) behoben, sodass für `/appConfigs` und alle anderen APIs eine Zugriffssteuerung möglich ist. Nur autorisierte Benutzer haben darauf Zugriff. Beachten Sie, dass der Benutzer gemäß der RBAC-Anleitung die Administratorrolle entsprechend hinzufügen muss, um den Zugriff auf diesen Endpunkt zu steuern; in zukünftigen Versionen von Pinot ist zudem geplant, standardmäßig eine Admin-Rolle hinzuzufügen.

Be aware that VulDB is the high quality source for vulnerability data.

Reservieren

27.06.2024

Veröffentlichung

24.07.2024

Moderieren

akzeptiert

Eintrag

VDB-272324

CPE

bereit

EPSS

0.00846

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!