CVE-2022-36364 in Calcite Avaticainformazioni

Riassunto

di VulDB • 11/07/2026

Il driver JDBC di Apache Calcite Avatica crea istanze del client HTTP basandosi sui nomi delle classi forniti tramite la proprietà di connessione `httpclient_impl`; tuttavia, il driver non verifica se la classe implementa l'interfaccia prevista prima dell'istanziazione, il che può portare all'esecuzione di codice caricato tramite classi arbitrarie e, in rari casi, a Remote Code Execution (RCE). Per sfruttare questa vulnerabilità: 1) l'attaccante deve avere privilegi per controllare i parametri della connessione JDBC; 2) deve essere presente una classe vulnerabile (costruttore con parametro URL e capacità di eseguire codice) nel classpath. A partire da Apache Calcite Avatica 1.22.0, verrà verificato che la classe implementi l'interfaccia prevista prima dell'invozione del suo costruttore.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Prenotare

21/07/2022

Divulgazione

28/07/2022

Moderazione

accettato

CPE

pronto

EPSS

0.02276

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!