Informazioni sul CVE-2024-45106

Apache Ozone: Improper authentication when generating S3 secrets

CWE ID: CWE-287

Base Score (CVSS): N/A

CVE: CVE-2024-45106

Descrizione: Improper authentication of an HTTP endpoint in the S3 Gateway of Apache Ozone 1.4.0 allows any authenticated Kerberos user to revoke and regenerate the S3 secrets of any other user. This is only possible if: * ozone.s3g.secret.http.enabled is set to true. The default value of this configuration is false. * The user configured in ozone.s3g.kerberos.principal is also configured in ozone.s3.administrators or ozone.administrators. Users are recommended to upgrade to Apache Ozone version 1.4.1 which disables the affected endpoint.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://lists.apache.org/thread/rylnxwttp004kvotpk9j158vb238pfkm

Prodotti interessati

Apache Software Foundation – Apache Ozone

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Ozone
Anno: 2024
CWE: CWE-287
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)