प्लेटफ़ॉर्म
java
घटक
io.trino:trino-iceberg
में ठीक किया गया
439.0.1
480
CVE-2026-34214, Trino Iceberg कनेक्टर में एक SQL इंजेक्शन भेद्यता है। इस भेद्यता के कारण, SQL स्तर पर लिखने की अनुमति वाले उपयोगकर्ता स्थिर क्रेडेंशियल्स (एक्सेस कुंजी) या अस्थायी एक्सेस कुंजी तक पहुंच सकते हैं। यह भेद्यता io.trino:trino-iceberg के ≤479 संस्करणों को प्रभावित करती है और संस्करण 480 में ठीक की गई है।
Trino में CVE-2026-34214, Iceberg REST कैटलॉग को प्रभावित करता है जो ऑब्जेक्ट स्टोरेज तक पहुंचने के लिए स्टैटिक क्रेडेंशियल (जैसे AWS S3 एक्सेस की) या डेलिगेटेड क्रेडेंशियल (टेम्पररी एक्सेस की) का उपयोग करते हैं। SQL स्तर पर राइट विशेषाधिकार वाले एक उपयोगकर्ता इन क्रेडेंशियल तक पहुंचने में सक्षम हो सकता है, जिससे अंतर्निहित ऑब्जेक्ट स्टोरेज में संग्रहीत डेटा तक अनधिकृत पहुंच संभव हो सकती है। यदि इस डेटा में संवेदनशील जानकारी शामिल है या व्यवसाय संचालन के लिए महत्वपूर्ण है, तो जोखिम बढ़ जाता है। CVSS स्कोर 7.7 एक मध्यम से उच्च जोखिम का संकेत देता है, जिसके लिए तत्काल ध्यान देने की आवश्यकता है।
SQL-स्तर के राइट विशेषाधिकार वाले एक अटैकर इस भेद्यता का फायदा उठाकर ऑब्जेक्ट स्टोरेज एक्सेस क्रेडेंशियल पढ़ सकता है। यह दुर्भावनापूर्ण SQL इंजेक्शन के माध्यम से या मौजूदा संग्रहीत प्रक्रियाओं या कार्यों का दुरुपयोग करके प्राप्त किया जा सकता है। एक बार जब अटैकर क्रेडेंशियल प्राप्त कर लेता है, तो वह उनका उपयोग ऑब्जेक्ट स्टोरेज में संग्रहीत डेटा तक पहुंचने के लिए कर सकता है, जिससे गोपनीय जानकारी का खुलासा, डेटा संशोधन या सेवा में व्यवधान हो सकता है।
Organizations utilizing the Trino Iceberg connector for data warehousing and analytics, particularly those relying on object storage (e.g., AWS S3, Google Cloud Storage) for data persistence, are at risk. Environments with overly permissive SQL write privileges or those lacking robust access controls to the query JSON feature are especially vulnerable.
• java / server:
ps aux | grep trino-iceberg• java / server:
journalctl -u trino -f | grep "query JSON"• java / server:
find /opt/trino/ -name "iceberg.properties" -printdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34214 के लिए प्राथमिक शमन उपाय Trino को एक ऐसे संस्करण में अपग्रेड करना है जिसमें फिक्स शामिल है (संस्करण 480 या बाद का)। इसके अतिरिक्त, SQL-स्तर के एक्सेस नियंत्रण की समीक्षा करें और उन्हें मजबूत करें ताकि केवल उन उपयोगकर्ताओं को राइट विशेषाधिकार दिए जाएं जिन्हें उनकी आवश्यकता है। Iceberg REST कैटलॉग तक पहुंच को प्रतिबंधित करने के लिए अधिक दानेदार भूमिकाओं और अनुमतियों का उपयोग करने पर विचार करें। संभावित कमजोरियों की पहचान करने के लिए Iceberg REST कैटलॉग कॉन्फ़िगरेशन की नियमित रूप से ऑडिट करें। यदि तत्काल अपग्रेड संभव नहीं है, तो Iceberg REST कैटलॉग तक पहुंच को न्यूनतम विशेषाधिकार वाले उपयोगकर्ताओं तक सीमित करने पर विचार करें।
Actualice Trino a la versión 480 o superior. Esta versión corrige la vulnerabilidad que permite el acceso no autorizado a las credenciales de Iceberg REST catalog a través de consultas JSON.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
480 से पहले के Trino संस्करण इस भेद्यता के प्रति संवेदनशील हैं।
अपने द्वारा उपयोग किए जा रहे Trino संस्करण की जांच करें। यदि यह 480 से पहले का है, तो आप संभावित रूप से प्रभावित हैं।
यह एक कैटलॉग है जो Trino को S3 या GCS जैसे ऑब्जेक्ट स्टोरेज में संग्रहीत Iceberg तालिकाओं तक पहुंचने की अनुमति देता है।
इसका मतलब है कि एक उपयोगकर्ता के पास SQL कमांड निष्पादित करने का अधिकार है जो तालिकाओं की संरचना या डेटा को संशोधित कर सकता है।
Iceberg REST कैटलॉग तक पहुंच को न्यूनतम विशेषाधिकार वाले उपयोगकर्ताओं तक सीमित करें और कॉन्फ़िगरेशन का ऑडिट करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।