CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-21234
https://notcve.org/view.php?id=CVE-2018-21234
Jodd before 5.0.4 performs Deserialization of Untrusted JSON Data when setClassMetadataName is set. Jodd versiones anteriores a la versión 5.0.4, realiza una Deserialización de Datos JSON No Confiables, cuando se establece la función setClassMetadataName. • https://github.com/oblac/jodd/commit/9bffc3913aeb8472c11bb543243004b4b4376f16 https://github.com/oblac/jodd/compare/v5.0.3...v5.0.4 https://github.com/oblac/jodd/issues/628 https://lists.apache.org/thread.html/r0bacc701ab7105500a0ab2769270d18f332cb379e6a62ec7553f3327%40%3Cissues.hive.apache.org%3E https://lists.apache.org/thread.html/r157d01c96a2c10e7ceb3e005f42c52cfe87b11dd018935e1c4277433%40%3Cgitbox.hive.apache.org%3E https://lists.apache.org/thread.html/r317aec95c436848233047af7ecb3ce04ce446eb6031f981aef50df0d%40%3Cdev.drill.apache.org%3E https • CWE-502: Deserialization of Untrusted Data •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-11777
https://notcve.org/view.php?id=CVE-2018-11777
In Apache Hive 2.3.3, 3.1.0 and earlier, local resources on HiveServer2 machines are not properly protected against malicious user if ranger, sentry or sql standard authorizer is not in use. En Apache Hive en sus versiones 2.3.3, 3.1.0 y anteriores, los recursos locales de las máquinas HiveServer2 no están protegidos adecuadamente contra usuarios maliciosos si no se está utilizando ranger, sentry o sql standard authorizer. • http://www.securityfocus.com/bid/105886 https://lists.apache.org/thread.html/963c8e2516405c9b532b4add16c03b2c5db621e0c83e80f45049cbbb%40%3Cdev.hive.apache.org%3E •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1314
https://notcve.org/view.php?id=CVE-2018-1314
In Apache Hive 2.3.3, 3.1.0 and earlier, Hive "EXPLAIN" operation does not check for necessary authorization of involved entities in a query. An unauthorized user can do "EXPLAIN" on arbitrary table or view and expose table metadata and statistics. En Apache Hive en sus versiones 2.3.3, 3.1.0 y anteriores, la operación "EXPLAIN" de Hive no comprueba la autorización necesaria de las entidades implicadas en una consulta. Un usuario no autorizado puede hacer "EXPLAIN" en una tabla o vista arbitrarias y exponer los metadatos y estadísticas de la tabla. • http://www.securityfocus.com/bid/105884 https://lists.apache.org/thread.html/3da47dbcbf09697387f29d2f1aed970523b6b334d93afd3cced23727%40%3Cdev.hive.apache.org%3E • CWE-862: Missing Authorization •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1282
https://notcve.org/view.php?id=CVE-2018-1282
This vulnerability in Apache Hive JDBC driver 0.7.1 to 2.3.2 allows carefully crafted arguments to be used to bypass the argument escaping/cleanup that JDBC driver does in PreparedStatement implementation. Esta vulnerabilidad en el controlador JDBC de Apache Hive, de la versión 0.7.1 a la 2.3.2, permite que los argumentos cuidadosamente manipulados se empleen para omitir el escape/limpieza de argumentos que el controlador JDBC realiza en la implementación PreparedStatement. • http://www.securityfocus.com/bid/103751 https://exchange.xforce.ibmcloud.com/vulnerabilities/141253 https://lists.apache.org/thread.html/74bd2bff1827febb348dfb323986fa340d3bb97a315ab93c3ccc8299%40%3Cdev.hive.apache.org%3E • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1315
https://notcve.org/view.php?id=CVE-2018-1315
In Apache Hive 2.1.0 to 2.3.2, when 'COPY FROM FTP' statement is run using HPL/SQL extension to Hive, a compromised/malicious FTP server can cause the file to be written to an arbitrary location on the cluster where the command is run from. This is because FTP client code in HPL/SQL does not verify the destination location of the downloaded file. This does not affect hive cli user and hiveserver2 user as hplsql is a separate command line script and needs to be invoked differently. En Apache Hive, de la versión 2.1.0 a la 2.3.2, cuando la instrucción 'COPY FROM FTP' se ejecuta mediante la extensión HPL/SQL en Hive, un servidor FTP comprometido/malicioso puede provocar que el archivo se escriba en una ubicación arbitraria del clúster desde el cual se ejecuta el comando. Esto se debe a que el código del cliente FTP en HPL/SQL no verifica la ubicación de destino del archivo descargado. • https://lists.apache.org/thread.html/d5da94ef60312c01a8d2348466680d1b5fb70702c71a3e84e94f7933%40%3Cdev.hive.apache.org%3E • CWE-732: Incorrect Permission Assignment for Critical Resource •