Plataforma
java
Componente
io.trino:trino-iceberg
Corrigido em
439.0.1
480
A vulnerabilidade CVE-2026-34214 permite que usuários com privilégios de escrita SQL acessem credenciais estáticas ou temporárias do catálogo REST do Iceberg no conector io.trino:trino-iceberg. Isso pode levar à exposição de chaves de acesso ao armazenamento de objetos. Afeta versões ≤479. A correção está disponível na versão 480.
A vulnerabilidade CVE-2026-34214 no Trino afeta catálogos REST do Iceberg que utilizam credenciais estáticas (por exemplo, chaves de acesso do AWS S3) ou credenciais fornecidas (chaves de acesso temporárias) para acessar o armazenamento de objetos. Um usuário com privilégios de escrita no nível SQL pode potencialmente acessar essas credenciais, permitindo potencialmente o acesso não autorizado aos dados armazenados no armazenamento de objetos subjacente. O risco é amplificado se esses dados contiverem informações confidenciais ou forem críticos para as operações de negócios. A pontuação CVSS de 7.7 indica um risco médio-alto, exigindo atenção imediata.
Um atacante com privilégios de escrita no nível SQL pode explorar esta vulnerabilidade para ler as credenciais de acesso ao armazenamento de objetos. Isso pode ser alcançado por meio de injeção de SQL maliciosa ou abusando de procedimentos armazenados ou funções existentes. Uma vez que o atacante obtenha as credenciais, ele pode usá-las para acessar os dados armazenados no armazenamento de objetos, o que pode resultar na divulgação de informações confidenciais, modificação de dados ou interrupção de serviços.
Organizations utilizing the Trino Iceberg connector for data warehousing and analytics, particularly those relying on object storage (e.g., AWS S3, Google Cloud Storage) for data persistence, are at risk. Environments with overly permissive SQL write privileges or those lacking robust access controls to the query JSON feature are especially vulnerable.
• java / server:
ps aux | grep trino-iceberg• java / server:
journalctl -u trino -f | grep "query JSON"• java / server:
find /opt/trino/ -name "iceberg.properties" -printdisclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-34214 é atualizar o Trino para uma versão que inclua a correção (versão 480 ou posterior). Além disso, revise e fortaleça os controles de acesso no nível SQL para limitar os privilégios de escrita apenas aos usuários que os exigem. Considere o uso de funções e permissões mais granulares para restringir o acesso aos catálogos REST do Iceberg. Audite regularmente as configurações dos catálogos REST do Iceberg para identificar possíveis vulnerabilidades. Se uma atualização imediata não for possível, considere limitar o acesso aos catálogos REST do Iceberg a usuários com privilégios mínimos.
Actualice Trino a la versión 480 o superior. Esta versión corrige la vulnerabilidad que permite el acceso no autorizado a las credenciales de Iceberg REST catalog a través de consultas JSON.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Versões do Trino anteriores à 480 são vulneráveis a esta vulnerabilidade.
Verifique a versão do Trino que você está usando. Se for anterior a 480, você está potencialmente afetado.
É um catálogo que permite que o Trino acesse tabelas Iceberg armazenadas em armazenamento de objetos como S3 ou GCS.
Significa que um usuário tem permissão para executar comandos SQL que podem modificar a estrutura ou os dados das tabelas.
Limite o acesso aos catálogos REST do Iceberg a usuários com privilégios mínimos e audite a configuração.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.