Informazioni sul CVE-2022-41137
Apache Hive: Deserialization of untrusted data when fetching partitions from the Metastore
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2022-41137
Descrizione: Apache Hive Metastore (HMS) uses SerializationUtilities#deserializeObjectWithTypeInformation method when filtering and fetching partitions that is unsafe and can lead to Remote Code Execution (RCE) since it allows the deserialization of arbitrary data. In real deployments, the vulnerability can be exploited only by authenticated users/clients that were able to successfully establish a connection to the Metastore. From an API perspective any code that calls the unsafe method may be vulnerable unless it performs additional prerechecks on the input arguments.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/apache/hive
- https://issues.apache.org/jira/browse/HIVE-26539
- https://github.com/apache/hive/commit/60027bb9c91a93affcfebd9068f064bc1f2a74c9
- https://lists.apache.org/thread/jwtr3d9yovf2wo0qlxvkhoxnwxxyzgts
Prodotti interessati
- Apache Software Foundation – Apache Hive
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Hive
Anno: 2022
CWE: CWE-502
CVSS: 0.0