CVE-2025-62728 - Apache Hive:通过HMS Thrift API处理删除列统计信息请求时的SQL注入漏洞
概述
漏洞时间线
描述
Hive元数据服务器在处理通过Thrift API发出的删除列统计信息请求时,存在SQL注入漏洞。该漏洞仅可被允许直接调用Thrift API的受信任/授权用户或应用程序利用。在大多数实际部署中,HMS仅对少数应用程序(例如Hiveserver2)开放,因此该漏洞可能无法被利用。此外,当 metastore.try.direct.sql 属性设置为false时,无法执行到易受攻击的代码。
此问题影响Apache Hive:从4.1.0版本开始,到4.2.0之前的版本。
建议用户升级到修复了此问题的4.2.0版本。无法直接升级的用户,如果HMS Thrift API暴露给公众,建议将 metastore.try.direct.sql 属性设置为false。
信息
发布日期: 2025年11月26日 上午9:15 最后修改日期: 2025年11月26日 上午9:15 可远程利用: 否 来源: security@apache.org
受影响产品
以下产品受CVE-2025-62728漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下表也未体现该信息。
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Apache | hive | |
| 总计受影响厂商: 1 | 产品: 1 |
解决方案
升级到4.2.0版本或将 metastore.try.direct.sql 设置为false。
- 升级Apache Hive至4.2.0版本。
- 将
metastore.try.direct.sql设置为false。 - 限制对HMS Thrift API的访问。
参考信息、解决方案和工具
此处提供了一个精选的外部链接列表,这些链接提供了与CVE-2025-62728相关的深入信息、实用解决方案和宝贵工具。
CWE - 常见缺陷枚举
虽然CVE标识特定的漏洞实例,但CWE归类了可能导致漏洞的常见缺陷或弱点。CVE-2025-62728与以下CWE关联: CWE-89: SQL命令中使用的特殊元素的不当中和(‘SQL注入’)
常见攻击模式枚举与分类
常见攻击模式枚举与分类存储了攻击模式,这些模式描述了攻击者利用CVE-2025-62728弱点所采用的常见属性和方法。
- CAPEC-7:盲SQL注入
- CAPEC-66:SQL注入
- CAPEC-108:通过SQL注入执行命令行
- CAPEC-109:对象关系映射注入
- CAPEC-110:通过SOAP参数篡改进行SQL注入
- CAPEC-470:从数据库扩展对操作系统的控制
我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布的公共漏洞利用和概念验证的集合(按最近更新排序)。 由于潜在的性能问题,结果限制在前15个仓库。
以下列表是文章中提及CVE-2025-62728漏洞的任何地方的新闻。 由于潜在的性能问题,结果限制在前20条新闻文章。
下表列出了随时间对CVE-2025-62728漏洞所做的更改。 漏洞历史记录详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收 来自 security@apache.org,2025年11月26日
| 操作 | 类型 | 旧值 | 新值 |
|---|
| 添加 | CWE | 无 | CWE-89 | | 添加 | 参考 | 无 | https://lists.apache.org/thread/yj65dd8dmzgy8p3nv8zy33v8knzg9o7g |
EPSS是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。
注入
漏洞评分详情
此漏洞无CVSS指标可用。