ProduktApache Druid, wersje wcześniejsze niż 0.22.0
Numer CVECVE-2021-36749
Krytyczność7.7 / 10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka wynika z błędu projektowego w HTTP InputSource, który umożliwia uwierzytelnionemu zdalnemu użytkownikowi przeglądanie zawartości plików lokalnych w systemie.
AktualizacjaTAK
Linkhttps://blogs.apache.org/foundation/
ProduktApache Kafka, wersje wcześniejsze niż 3.0.0
Numer CVECVE-2021-38153
Krytyczność5.5 / 10
CVSSAV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
OpisNiektóre składniki Apache Kafka używają „Arrays.equals” do sprawdzania hasła lub klucza, co jest podatne na ataki czasowe. Użytkownik lokalny może nadużywać „Arrays.equals” w celu przeprowadzenia ataku brute force i eskalacji uprawnień w systemie.
AktualizacjaTAK
Linkhttps://blogs.apache.org/foundation/