Katalog CVE

CVE-2026-2255

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 - wyżej niż 6% wszystkich znanych CVE

Streszczenie

Wersje Hitachi Vantara Pentaho Data Integration & Analytics przed 10.2.0.6 i 11.0.0.0, w tym 9.3.x i 8.3.x, ujawniają poświadczenia klastra Hadoop w postaci niezaszyfrowanej przez API testowe klastra. Użytkownik nie powinien ich widzieć bezpośrednio, jednak błąd jest częściowo złagodzony, ponieważ użytkownik może już wykorzystać te poświadczenia do przesyłania zadań w ramach tego samego konta przez backend API.

Ocena ryzyka

Ujawnienie poświadczeń klastra Hadoop w postaci niezaszyfrowanej stwarza ryzyko nieautoryzowanego dostępu do zasobów klastra, co może prowadzić do poważnych naruszeń bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Pentaho Data Integration & Analytics, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony poświadczeń.

Oryginalny opis (angielski, źródło NVD)

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6 and 11.0.0.0, including 9.3.x and 8.3.x, expose Hadoop cluster credentials in plain text through the Cluster Test API. Although the user should not see those explicitly, the defect is mitigated by the fact the user can already leverage those credentials to submit jobs under the same account through the backend API.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS