Informazioni sul CVE-2024-39676
Apache Pinot: Unauthorized endpoint exposed sensitive information
CWE ID: CWE-200
Base Score (CVSS): N/A
CVE: CVE-2024-39676
Descrizione: Vulnerabilità di esposizione di informazioni sensibili a un attore non autorizzato in Apache Pinot. Questo problema riguarda Apache Pinot: da 0.1 prima di 1.0.0. Gli utenti sono raccomandati ad aggiornare a versione 1.0.0 e configurare RBAC, che risolve il problema. Dettagli: Quando si utilizza una richiesta al percorso “/appconfigs” al controller, può portare alla divulgazione di informazioni sensibili come informazioni di sistema (ad esempio arch, os version), informazioni di ambiente (ad esempio maxHeapSize) e configurazioni Pinot (ad esempio zookeeper path). Questo problema è stato risolto dal Role-based Access Control https://docs.pinot.apache.org/operators/tutorials/authentication/basic-auth-access-control, quindi /appConfigs e tutte le altre API possono essere accessibili. Solo gli utenti autorizzati hanno accesso a questo. Si prega di aggiungere il ruolo di amministratore di conseguenza al documento di guida RBAC per controllare l’accesso a questo endpoint, e in una futura versione di Pinot, un ruolo amministratore predefinito è previsto.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- Apache Software Foundation – Apache Pinot
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Pinot
Anno: 2024
CWE: CWE-200
CVSS: 0.0