CVE-2026-42812: krytyczna luka w Apache Polaris umożliwiająca nieautoryzowany zapis metadanych
Krytyczna luka w Apache Polaris pozwala na nieautoryzowany zapis metadanych i dostęp do pamięci masowej. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.4 CRITICAL
- EPSS
- 28.47%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- polaris
Co wiadomo
W Apache Polaris wykryto krytyczną lukę, która pozwala użytkownikowi zmieniającemu ustawienia tabeli na zapis metadanych w wybranej przez atakującego lokalizacji pamięci masowej, omijając weryfikację ścieżek. Może to prowadzić do ujawnienia, modyfikacji lub usunięcia danych i metadanych w obszarze dostępnym dla Polaris.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa danych w środowiskach korzystających z Apache Polaris, zwłaszcza gdy konfiguracja pozwala na nieustrukturyzowane lokalizacje tabel. Atakujący mogą uzyskać tymczasowe poświadczenia dostępu do pamięci masowej, co może skutkować wyciekiem, uszkodzeniem lub utratą danych. Operatorzy IT powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania zabezpieczające.
Rekomendowane działania administratora
Zaleca się niezwłoczne przejrzenie konfiguracji Polaris, zwłaszcza parametrów 'polaris.config.allow.unstructured.table.location' oraz 'allowedLocations'. Należy ograniczyć możliwość zmiany właściwości 'write.metadata.path' oraz monitorować i analizować logi pod kątem nietypowych zmian ustawień tabel. W przypadku dostępności aktualizacji lub poprawek od Apache należy je jak najszybciej zastosować. Warto również ograniczyć uprawnienia użytkowników do zmiany ustawień tabel.