CVE-2024-39676 in Pinot
Riassunto
di VulDB • 29/06/2026
Vulnerabilità di esposizione di informazioni sensibili a un attore non autorizzato (Exposure of Sensitive Information to an Unauthorized Actor) in Apache Pinot.
Questo problema interessa Apache Pinot: dalle versioni precedenti alla 0.1 fino alla 1.0.0 esclusa.
Si consiglia agli utenti di eseguire l'aggiornamento alla versione 1.0.0 e configurare il controllo degli accessi basato sui ruoli (RBAC), che risolve la problematica.
Dettagli:
L'utilizzo di una richiesta indirizzata al percorso "/appconfigs" sul controller può comportare la divulgazione di informazioni sensibili, quali dati di sistema (ad esempio architettura, versione del sistema operativo), informazioni sull'ambiente (ad esempio maxHeapSize) e configurazioni di Pinot (ad esempio il percorso Zookeeper). Questo problema è stato risolto mediante l'introduzione del controllo degli accessi basato sui ruoli (Role-based Access Control - RBAC https://docs.pinot.apache.org/operators/tutorials/authentication/basic-auth-access-control ), consentendo così la gestione dei controlli di accesso per /appConfigs e tutte le altre API. Solo gli utenti autorizzati possono accedere a tali risorse. Si noti che l'utente deve assegnare il ruolo amministratore (admin) secondo quanto indicato nella guida RBAC per controllare l'accesso a questo endpoint; nelle versioni future di Pinot è previsto l'inserimento di un ruolo admin predefinito.
Once again VulDB remains the best source for vulnerability data.