Platform
java
Component
io.trino:trino-iceberg
Opgelost in
439.0.1
480
CVE-2026-34214 betreft een kwetsbaarheid in de Trino Iceberg connector, waarbij credentials kunnen uitlekken. Dit kan leiden tot ongeautoriseerde toegang tot object storage. Gebruikers van oudere versies zijn kwetsbaar. De fix is beschikbaar in versie 480.
CVE-2026-34214 in Trino treft Iceberg REST-catalogi die statische inloggegevens (bijv. AWS S3-toegangssleutels) of verstrekte inloggegevens (tijdelijke toegangssleutels) gebruiken om toegang te krijgen tot objectopslag. Een gebruiker met schrijfrechten op SQL-niveau kan mogelijk toegang krijgen tot deze inloggegevens, waardoor mogelijk ongeautoriseerde toegang tot de gegevens die in de onderliggende objectopslag zijn opgeslagen, mogelijk wordt. Het risico wordt vergroot als deze gegevens gevoelige informatie bevatten of cruciaal zijn voor bedrijfsvoering. De CVSS-score van 7,7 duidt op een gemiddeld tot hoog risico, wat onmiddellijke aandacht vereist.
Een aanvaller met SQL-niveau schrijfrechten kan deze kwetsbaarheid uitbuiten om de inloggegevens voor toegang tot objectopslag te lezen. Dit kan worden bereikt via kwaadwillige SQL-injectie of door bestaande opgeslagen procedures of functies te misbruiken. Zodra de aanvaller de inloggegevens heeft verkregen, kan hij deze gebruiken om toegang te krijgen tot de gegevens die in de objectopslag zijn opgeslagen, wat kan leiden tot de openbaarmaking van vertrouwelijke informatie, wijziging van gegevens of onderbreking van de dienst.
Organizations utilizing the Trino Iceberg connector for data warehousing and analytics, particularly those relying on object storage (e.g., AWS S3, Google Cloud Storage) for data persistence, are at risk. Environments with overly permissive SQL write privileges or those lacking robust access controls to the query JSON feature are especially vulnerable.
• java / server:
ps aux | grep trino-iceberg• java / server:
journalctl -u trino -f | grep "query JSON"• java / server:
find /opt/trino/ -name "iceberg.properties" -printdisclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34214 is het upgraden van Trino naar een versie die de fix bevat (versie 480 of hoger). Bekijk en versterk bovendien toegangscontroles op SQL-niveau om schrijfrechten te beperken tot alleen de gebruikers die ze nodig hebben. Overweeg het gebruik van fijnmazigere rollen en machtigingen om de toegang tot Iceberg REST-catalogi te beperken. Controleer regelmatig de configuraties van Iceberg REST-catalogi om potentiële kwetsbaarheden te identificeren. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan om de toegang tot Iceberg REST-catalogi te beperken tot gebruikers met minimale rechten.
Actualice Trino a la versión 480 o superior. Esta versión corrige la vulnerabilidad que permite el acceso no autorizado a las credenciales de Iceberg REST catalog a través de consultas JSON.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies van Trino vóór 480 zijn kwetsbaar voor deze kwetsbaarheid.
Controleer de versie van Trino die u gebruikt. Als deze ouder is dan 480, bent u mogelijk getroffen.
Het is een catalogus die Trino in staat stelt om toegang te krijgen tot Iceberg-tabellen die zijn opgeslagen in objectopslag zoals S3 of GCS.
Het betekent dat een gebruiker de machtiging heeft om SQL-commando's uit te voeren die de structuur of gegevens van tabellen kunnen wijzigen.
Beperk de toegang tot Iceberg REST-catalogi tot gebruikers met minimale rechten en controleer de configuratie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.