CVE-2024-45384

Padding Oracle vulnerability in Apache Druid extension, druid-pac4j. This could allow an attacker to manipulate a pac4j session cookie. This issue affects Apache Druid versions 0.18.0 through 30.0.0. Since the druid-pac4j extension is optional and disabled by default, Druid installations not using the druid-pac4j extension are not affected by this vulnerability. While we are not aware of a way to meaningfully exploit this flaw, we nevertheless recommend upgrading to version 30.0.1 or higher which fixes the issue and ensuring you have a strong druid.auth.pac4j.cookiePassphrase as a precaution.
Configurations

Configuration 1 (hide)

cpe:2.3:a:apache:druid:*:*:*:*:*:*:*:*

History

21 Nov 2024, 09:37

Type Values Removed Values Added
References
  • () http://www.openwall.com/lists/oss-security/2024/09/17/1 -

02 Oct 2024, 13:57

Type Values Removed Values Added
CPE cpe:2.3:a:apache:druid:*:*:*:*:*:*:*:*
First Time Apache druid
Apache
References () https://lists.apache.org/thread/gr94fnp574plb50lsp8jw4smvgv1lbz1 - () https://lists.apache.org/thread/gr94fnp574plb50lsp8jw4smvgv1lbz1 - Vendor Advisory
CWE NVD-CWE-noinfo
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 5.3

20 Sep 2024, 12:30

Type Values Removed Values Added
Summary
  • (es) Vulnerabilidad de relleno de Oracle en la extensión de Apache Druid, druid-pac4j. Esto podría permitir que un atacante manipule una cookie de sesión de pac4j. Este problema afecta a las versiones de Apache Druid 0.18.0 a 30.0.0. Dado que la extensión druid-pac4j es opcional y está deshabilitada de forma predeterminada, las instalaciones de Druid que no utilicen la extensión druid-pac4j no se ven afectadas por esta vulnerabilidad. Si bien no conocemos una forma de explotar significativamente esta falla, recomendamos actualizar a la versión 30.0.1 o superior que soluciona el problema y asegurarse de tener una contraseña de cookie druid.auth.pac4j. segura como medida de precaución.

17 Sep 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-17 19:15

Updated : 2024-11-21 09:37


NVD link : CVE-2024-45384

Mitre link : CVE-2024-45384

CVE.ORG link : CVE-2024-45384


JSON object : View

Products Affected

apache

  • druid