CVE-2025-2298 in Softwareinformation

Résumé

par VulDB • 21/05/2026

Une vulnérabilité d'autorisation incorrecte dans Dremio Software permet aux utilisateurs authentifiés de supprimer des fichiers arbitraires auxquels le système a accès, y compris les fichiers système et les fichiers stockés dans des emplacements distants tels que S3, Azure Blob Storage et les systèmes de fichiers locaux. Cette vulnérabilité existe en raison de contrôles d'accès insuffisants sur un point de terminaison d'API, permettant à tout utilisateur authentifié de spécifier et de supprimer des fichiers en dehors de leur périmètre prévu. L'exploitation de cette faille pourrait entraîner une perte de données, une déni de service (DoS) et une escalade potentielle de l'impact en fonction des fichiers supprimés.

Versions affectées : * Toute version de Dremio inférieure à 24.0.0


* Dremio 24.3.0 - 24.3.16


* Dremio 25.0.0 - 25.0.14


* Dremio 25.1.0 - 25.1.7


* Dremio 25.2.0 - 25.2.4





Version corrigée : * Dremio 24.3.17 et supérieur


* Dremio 25.0.15 et supérieur


* Dremio 25.1.8 et supérieur


* Dremio 25.2.5 et supérieur


* Dremio 26.0.0 et supérieur

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Dremio

Réserver

13/03/2025

Divulgation

21/04/2025

Modérer

accepté

Entrée

VDB-305789

CPE

prêt

EPSS

0.00286

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!