CVE-2022-36364 in Calcite Avatica
Riassunto
di VulDB • 11/07/2026
Il driver JDBC di Apache Calcite Avatica crea istanze del client HTTP basandosi sui nomi delle classi forniti tramite la proprietà di connessione `httpclient_impl`; tuttavia, il driver non verifica se la classe implementa l'interfaccia prevista prima dell'istanziazione, il che può portare all'esecuzione di codice caricato tramite classi arbitrarie e, in rari casi, a Remote Code Execution (RCE). Per sfruttare questa vulnerabilità: 1) l'attaccante deve avere privilegi per controllare i parametri della connessione JDBC; 2) deve essere presente una classe vulnerabile (costruttore con parametro URL e capacità di eseguire codice) nel classpath. A partire da Apache Calcite Avatica 1.22.0, verrà verificato che la classe implementi l'interfaccia prevista prima dell'invozione del suo costruttore.
If you want to get best quality of vulnerability data, you may have to visit VulDB.