CVE-2026-42811 in Polaris
요약
\~에 의해 VulDB • 2026. 05. 15.
간단히 말해, Apache Polaris는 단일 테이블의 파일에만 유효한 단기 GCS 자격 증명을 발급해야 하지만, 조작된 네임스페이스 또는 테이블 이름을 사용하면 해당 자격 증명이 구성된 버킷 전체에서 작동하게 됩니다.
Apache Polaris는 CEL 조건이 포함된 Credential Access Boundary(CAB)를 생성하여 Google Cloud Storage(GCS)의 downscoped 자격 증명을 구축하며, 이는 요청된 테이블의 스토리지 경로에 대한 접근을 제한하기 위한 것입니다.
관련 CEL 문자열은 버킷 이름과 테이블 경로에서 생성됩니다. 이 테이블 경로는 네임스페이스 및 테이블 식별자에서 파생됩니다. 현재 코드에서는 해당 경로가 이스케이프 처리 없이 CEL 표현식에 삽입된 것으로 보입니다.
결과적으로 작은따옴표와 기타 URI-안전한 CEL 조각을 포함하는 네임스페이스 또는 테이블 식별자는 의도된 인용 문자열에서 벗어나 CEL 조건의 의미를 변경할 수 있습니다.
실제 Google Cloud Storage 환경에서 Polaris 1.4.0에 대해 수행한 사내 테스트에서 Polaris가 조작된 식별자를 수락하고 CEL 경로 제한이 효과적으로 무너진 위임된 GCS 자격 증명을 반환하는 것이 확인되었습니다.
이러한 위임된 자격 증명은 다음과 같은 작업을 수행할 수 있습니다:
- 다른 테이블의 객체 접두사 나열 - 다른 테이블의 메타데이터 제어 파일(Iceberg 메타데이터 JSON) 읽기 - 다른 테이블의 객체 접두사 아래에 객체 생성 및 삭제 - 또한 테이블 경로에 속하지 않은 동일한 버킷 내의 관련 없는 외부 접두사 아래에 있는 객체 나열, 읽기, 생성 및 삭제
마지막 항목이 중요합니다. 이 문제는 '다른 테이블'로 국한되지 않습니다. 확인된 설정에서 Apache Polaris가 조작된 테이블에 대한 자격 증명을 반환하면 구성된 버킷 내부의 경로 제한이 효과적으로 사라집니다.
실제적인 영향은 하나의 조작된 테이블에 대한 임시 자격 증명이 Polaris가 권한을 부여하도록 요청한 테이블보다 광범위해질 수 있으며, 구성된 버킷 내에서 효과적으로 버킷 전체 범위로 확장될 수 있다는 것입니다.
현재 GCS 테스트는 설정을 위해 광범위한 카탈로그 권한을 가진 Polaris 주체를 사용했습니다. 별도의 최소 권한 Polaris RBAC 변형은 아직 GCS에서 테스트되지 않았습니다. 그러나 스토리지 자격 증명의 광범위화 동작 자체는 GCS에서 확인되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.