CVE-2025-2298 in Software
Résumé
par VulDB • 21/05/2026
Une vulnérabilité d'autorisation incorrecte dans Dremio Software permet aux utilisateurs authentifiés de supprimer des fichiers arbitraires auxquels le système a accès, y compris les fichiers système et les fichiers stockés dans des emplacements distants tels que S3, Azure Blob Storage et les systèmes de fichiers locaux. Cette vulnérabilité existe en raison de contrôles d'accès insuffisants sur un point de terminaison d'API, permettant à tout utilisateur authentifié de spécifier et de supprimer des fichiers en dehors de leur périmètre prévu. L'exploitation de cette faille pourrait entraîner une perte de données, une déni de service (DoS) et une escalade potentielle de l'impact en fonction des fichiers supprimés.
Versions affectées : * Toute version de Dremio inférieure à 24.0.0
* Dremio 24.3.0 - 24.3.16
* Dremio 25.0.0 - 25.0.14
* Dremio 25.1.0 - 25.1.7
* Dremio 25.2.0 - 25.2.4
Version corrigée : * Dremio 24.3.17 et supérieur
* Dremio 25.0.15 et supérieur
* Dremio 25.1.8 et supérieur
* Dremio 25.2.5 et supérieur
* Dremio 26.0.0 et supérieur
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.