CVE-2026-42812: Критична вразливість у Apache Polaris, що дозволяє обходити перевірку розташування метаданих

Вразливість CVE-2026-42812 у Apache Polaris дозволяє обходити перевірку шляхів метаданих, що загрожує безпеці даних.
CVE-2026-42812CVSS 9.4Web

CVE-2026-42812: Критична вразливість у Apache Polaris, що дозволяє обходити перевірку розташування метаданих

Вразливість CVE-2026-42812 у Apache Polaris дозволяє обходити перевірку шляхів метаданих, що загрожує безпеці даних.

CVSS
9.4 CRITICAL
EPSS
28.47%
Активно використовується
немає в KEV
Продукт
polaris

Що відомо

У Apache Polaris виявлено критичну вразливість, яка дозволяє змінювати шлях збереження метаданих таблиці без належної перевірки. Це може призвести до запису метаданих у довільне місце зберігання, що потенційно відкриває доступ до конфіденційних даних або їх пошкодження.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури ця вразливість означає ризик несанкціонованого доступу або модифікації даних у сховищах, керованих Polaris. Якщо конфігурація дозволяє використання нестандартних шляхів зберігання, зловмисник може отримати тимчасові облікові дані для доступу до цих ресурсів, що ставить під загрозу цілісність і конфіденційність інформації.

Рекомендовані дії адміністратора

Адміністраторам рекомендується перевірити налаштування Polaris, особливо параметри 'polaris.config.allow.unstructured.table.location' та 'allowedLocations'. Необхідно обмежити можливість зміни властивості 'write.metadata.path' лише довіреними користувачами, а також регулярно переглядати журнали доступу і оновлювати програмне забезпечення до останніх версій, наявних від постачальника.

Джерела