CVE-2024-39676：Apache Pinot 存在敏感数据泄露漏洞

Apache Pinot 是一个实时分析开源平台，可提供闪电般的洞察力、轻松的扩展和具有成本效益的数据驱动决策，最近披露了一个严重的安全漏洞 (CVE-2024-39676)。此漏洞可能允许未经授权的参与者访问敏感的系统信息，从而可能导致数据泄露和安全漏洞。

该漏洞被指定为 CVE-2024-39676，源自 Apache Pinot 中的未经授权的访问问题。具体来说，当对控制器上的“/appConfigs”路径发出请求时，它可能会无意中泄露敏感信息。这些信息包括：

• 系统详细信息：操作系统版本、架构和其他系统详细信息。

• 环境数据：最大堆大小和其他环境变量。

• Pinot 配置： Zookeeper 路径和其他内部设置。

攻击者可以利用这些信息更深入地了解目标的基础设施，从而可能发现更多可以利用的漏洞或薄弱环节。该漏洞存在于 Pinot 版本 0.1 至 0.9 中。

Apache Pinot 团队已在 1.0.0 版本中解决了此漏洞。此更新引入了基于角色的访问控制(RBAC)，使管理员能够限制对敏感端点和信息的访问。

强烈建议所有 Apache Pinot 用户立即升级到1.0.0版本。升级后，管理员应配置 RBAC，以确保只有授权用户才能访问“/appConfigs”等敏感端点。

此漏洞的严重程度被归类为“重要”，这意味着如果被利用，可能会产生严重后果。依赖 Pinot 进行实时分析的企业和组织尤其面临风险，因为他们的敏感数据和系统配置可能会被暴露。

新版本：

https://pinot.apache.org/download

原文始发于微信公众号（独眼情报）：CVE-2024-39676：Apache Pinot 存在敏感数据泄露漏洞