CVE: CVE-2024-23945

Descrizione: “La firma dei cookie è una funzionalità di sicurezza applicativa che aggiunge una firma digitale ai dati dei cookie per verificare la loro autenticità e integrità. La firma aiuta a prevenire che gli attaccanti malintenzionati modifichino il valore del cookie, il che può portare a vulnerabilità di sicurezza e sfruttamento. Quando il servizio Apache Hive esporre accidentalmente la firma del cookie all’utente finale in caso di discrepanze nella firma tra il cookie corrente e quello previsto, l’esposizione della firma del cookie corretta può portare a ulteriori sfruttamenti. La logica CookieSigner vulnerabile è stata introdotta in Apache Hive da HIVE-9710 (1.2.0) e in Apache Spark da SPARK-14987 (2.0.0. Gli effetti sono i seguenti: * org.apache.hive:hive-service * org.apache.spark:spark-hive-thriftserver_2.11 * org.apache.spark:spark-hive-thriftserver_2.12”

Vettore di attacco

Riferimenti esterni

• https://github.com/apache/hive
• https://github.com/apache/spark
• https://github.com/apache/spark/commit/cf59b1f51c16301f689b4e0f17ba4dbd140e1b19
• https://github.com/apache/hive/commit/7638cb1a3b07713cc490aa2909a37037f89e08b4
• https://issues.apache.org/jira/browse/HIVE-9710
• https://issues.apache.org/jira/browse/SPARK-14987
• https://lists.apache.org/thread/59r4mv7glrxpwkkdjvjbdljfpx3f5zzc
• https://lists.apache.org/thread/5o2ljnzrv8zvhjw9vy7b4rwjpc32hgfc

Prodotti interessati

• Apache Software Foundation – Apache Hive
• Apache Software Foundation – Apache Spark
• Apache Software Foundation – Apache Spark

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Hive
Anno: 2024
CWE: CWE-209
CVSS: 0.0

Produttore:Apache Software Foundation
Prodotto: Apache Spark
Anno: 2024
CWE: CWE-209
CVSS: 0.0

Ulteriori risorse disponibili

• Vulnerabilità scoperte nello stesso anno (2024)