CVE-2026-42812: Критична вразливість у Apache Polaris, що дозволяє обходити перевірку розташування метаданих
Вразливість CVE-2026-42812 у Apache Polaris дозволяє обходити перевірку шляхів метаданих, що загрожує безпеці даних.
- CVSS
- 9.4 CRITICAL
- EPSS
- 28.47%
- Активно використовується
- немає в KEV
- Продукт
- polaris
Що відомо
У Apache Polaris виявлено критичну вразливість, яка дозволяє змінювати шлях збереження метаданих таблиці без належної перевірки. Це може призвести до запису метаданих у довільне місце зберігання, що потенційно відкриває доступ до конфіденційних даних або їх пошкодження.
Бізнес-вплив
Для операторів ІТ та власників інфраструктури ця вразливість означає ризик несанкціонованого доступу або модифікації даних у сховищах, керованих Polaris. Якщо конфігурація дозволяє використання нестандартних шляхів зберігання, зловмисник може отримати тимчасові облікові дані для доступу до цих ресурсів, що ставить під загрозу цілісність і конфіденційність інформації.
Рекомендовані дії адміністратора
Адміністраторам рекомендується перевірити налаштування Polaris, особливо параметри 'polaris.config.allow.unstructured.table.location' та 'allowedLocations'. Необхідно обмежити можливість зміни властивості 'write.metadata.path' лише довіреними користувачами, а також регулярно переглядати журнали доступу і оновлювати програмне забезпечення до останніх версій, наявних від постачальника.