Informazioni sul CVE-2024-27438
Apache Doris: Downloading arbitrary remote jar files resulting in remote command execution
CWE ID: CWE-494
Base Score (CVSS): N/A
CVE: CVE-2024-27438
Descrizione: Download of Code Without Integrity Check vulnerability in Apache Doris. The jdbc driver files used for JDBC catalog is not checked and mayresulting in remote command execution. Once the attacker is authorized to create a JDBC catalog, he/she can use arbitrary driver jar file with unchecked code snippet. Thiscode snippet will be run when catalog is initializing without any check. This issue affects Apache Doris: from 1.2.0 through 2.0.4. Users are recommended to upgrade to version 2.0.5 or 2.1.x, which fixes the issue.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://lists.apache.org/thread/h95h82b0svlnwcg6c2xq4b08j6gwgczh
- http://www.openwall.com/lists/oss-security/2024/03/21/1
Prodotti interessati
- Apache Software Foundation – Apache Doris
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Doris
Anno: 2024
CWE: CWE-494
CVSS: 0.0