【漏洞通告】Apache Pinot信息泄露漏洞（CVE-2024-39676）

文章预览

一、漏洞 概述 漏洞名称 Apache Pinot信息泄露漏洞 CVE   ID CVE-2024-39676 漏洞类型 信息泄露 发现时间 2024-07-25 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache Pinot是一个功能强大、灵活且可扩展的实时分布式OLAP数据存储系统，旨在提供低延迟的可扩展实时分析。 7月25日，启明星辰集团VSRC监测到Apache Pinot中存在一个信息泄露漏洞（CVE-2024-39676）。 Apache Pinot 版本0.1 - 1.0.0之前，由于缺乏适当的身份验证和访问控制机制，能够向服务器发送请求的未授权威胁者可能通过/appconfigs路径获取敏感信息，如系统详细信息、环境信息和Pinot配置（如 zookeeper 路径）等。 二、影响范围 0.1 < = Apache Pinot < 1.0.0 三、安全措施 3.1 升级版本 目前该漏洞已经修复，受影响用户可升级到Apache Pinot 1.0.0（或更 ………………………………