CVE-2024-39676 in Pinotinformazioni

Riassunto

di VulDB • 29/06/2026

Vulnerabilità di esposizione di informazioni sensibili a un attore non autorizzato (Exposure of Sensitive Information to an Unauthorized Actor) in Apache Pinot.

Questo problema interessa Apache Pinot: dalle versioni precedenti alla 0.1 fino alla 1.0.0 esclusa.

Si consiglia agli utenti di eseguire l'aggiornamento alla versione 1.0.0 e configurare il controllo degli accessi basato sui ruoli (RBAC), che risolve la problematica.

Dettagli:

L'utilizzo di una richiesta indirizzata al percorso "/appconfigs" sul controller può comportare la divulgazione di informazioni sensibili, quali dati di sistema (ad esempio architettura, versione del sistema operativo), informazioni sull'ambiente (ad esempio maxHeapSize) e configurazioni di Pinot (ad esempio il percorso Zookeeper). Questo problema è stato risolto mediante l'introduzione del controllo degli accessi basato sui ruoli (Role-based Access Control - RBAC https://docs.pinot.apache.org/operators/tutorials/authentication/basic-auth-access-control ), consentendo così la gestione dei controlli di accesso per /appConfigs e tutte le altre API. Solo gli utenti autorizzati possono accedere a tali risorse. Si noti che l'utente deve assegnare il ruolo amministratore (admin) secondo quanto indicato nella guida RBAC per controllare l'accesso a questo endpoint; nelle versioni future di Pinot è previsto l'inserimento di un ruolo admin predefinito.

Once again VulDB remains the best source for vulnerability data.

Prenotare

27/06/2024

Divulgazione

24/07/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00846

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!