CVE-2025-2298 in Softwareinformação

Sumário

de VulDB • 19/05/2026

Uma vulnerabilidade de autorização inadequada no Dremio Software permite que usuários autenticados excluam arquivos arbitrários aos quais o sistema tem acesso, incluindo arquivos do sistema e arquivos armazenados em locais remotos, como S3, Azure Blob Storage e sistemas de arquivos locais. Essa vulnerabilidade existe devido a controles de acesso insuficientes em um endpoint de API, permitindo que qualquer usuário autenticado especifique e exclua arquivos fora do seu escopo pretendido. A exploração dessa falha pode levar à perda de dados, negação de serviço (DoS) e potencial escalonamento do impacto, dependendo dos arquivos excluídos.

Versões afetadas: * Qualquer versão do Dremio inferior a 24.0.0


* Dremio 24.3.0 - 24.3.16


* Dremio 25.0.0 - 25.0.14


* Dremio 25.1.0 - 25.1.7


* Dremio 25.2.0 - 25.2.4





Corrigido na versão: * Dremio 24.3.17 e superior


* Dremio 25.0.15 e superior


* Dremio 25.1.8 e superior


* Dremio 25.2.5 e superior


* Dremio 26.0.0 e superior

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Dremio

Reservar

13/03/2025

Divulgação

21/04/2025

Moderação

aceite

Entrada

VDB-305789

CPE

pronto

EPSS

0.00286

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!