平台
java
组件
io.trino:trino-iceberg
修复版本
439.0.1
480
CVE-2026-34214 描述了 io.trino:trino-iceberg 中的一个漏洞,该漏洞允许具有写权限的用户访问 Iceberg REST 目录的静态或临时凭据。受影响的版本为 ≤479。修复版本为 480,建议用户尽快升级。
Trino 中的 CVE-2026-34214 影响使用静态凭据(例如 AWS S3 访问密钥)或委托凭据(临时访问密钥)来访问对象存储的 Iceberg REST 目录。 具有 SQL 级别写入权限的用户可能能够访问这些凭据,从而可能允许对底层对象存储中存储的数据进行未经授权的访问。 如果这些数据包含敏感信息或对业务运营至关重要,则风险会增加。 CVSS 分数 7.7 表明存在中高风险,需要及时关注。
具有 SQL 级别写入权限的攻击者可能利用此漏洞来读取对象存储访问凭据。 这可以通过恶意 SQL 注入或滥用现有存储过程或函数来实现。 一旦攻击者获得凭据,他们就可以使用这些凭据来访问对象存储中存储的数据,从而可能导致泄露敏感信息、修改数据或中断服务。
Organizations utilizing the Trino Iceberg connector for data warehousing and analytics, particularly those relying on object storage (e.g., AWS S3, Google Cloud Storage) for data persistence, are at risk. Environments with overly permissive SQL write privileges or those lacking robust access controls to the query JSON feature are especially vulnerable.
• java / server:
ps aux | grep trino-iceberg• java / server:
journalctl -u trino -f | grep "query JSON"• java / server:
find /opt/trino/ -name "iceberg.properties" -printdisclosure
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
CVE-2026-34214 的主要缓解措施是将 Trino 升级到包含修复程序的版本(版本 480 或更高版本)。 此外,请审查并加强 SQL 级别的访问控制,以仅允许需要这些权限的用户进行写入操作。 考虑使用更细粒度的角色和权限来限制对 Iceberg REST 目录的访问。 定期审核 Iceberg REST 目录的配置以识别潜在的漏洞。 如果无法立即升级,请考虑将 Iceberg REST 目录的访问限制为具有最小权限的用户。
Actualice Trino a la versión 480 o superior. Esta versión corrige la vulnerabilidad que permite el acceso no autorizado a las credenciales de Iceberg REST catalog a través de consultas JSON.
漏洞分析和关键警报直接发送到您的邮箱。
早于 480 的 Trino 版本容易受到此漏洞的影响。
检查您正在使用的 Trino 版本。 如果版本早于 480,则您可能受到影响。
它是一个目录,允许 Trino 访问存储在 S3 或 GCS 等对象存储中的 Iceberg 表。
这意味着用户有权执行可以修改表结构或数据的 SQL 命令。
将 Iceberg REST 目录的访问限制为具有最小权限的用户,并审核配置。
CVSS 向量
上传你的 pom.xml 文件,立即知道是否受影响。