https://blog.qife122.com/tags/apache-hive/ Recent content in Apache Hive on 办公AI智能小助手 Hugo zh-cn qife Sun, 07 Dec 2025 23:45:08 +0800 https://blog.qife122.com/p/apache-hive-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2025-62728%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%96%B9%E6%A1%88/ Sun, 07 Dec 2025 23:45:08 +0800 https://blog.qife122.com/p/apache-hive-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2025-62728%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%96%B9%E6%A1%88/ <h2 id="cve-2025-62728---apache-hive通过hms-thrift-api处理删除列统计信息请求时的sql注入漏洞">CVE-2025-62728 - Apache Hive：通过HMS Thrift API处理删除列统计信息请求时的SQL注入漏洞</h2> <h3 id="概述">概述</h3> <h3 id="漏洞时间线">漏洞时间线</h3> <h3 id="描述">描述</h3> <p>Hive元数据服务器在处理通过Thrift API发出的删除列统计信息请求时，存在SQL注入漏洞。该漏洞仅可被允许直接调用Thrift API的受信任/授权用户或应用程序利用。在大多数实际部署中，HMS仅对少数应用程序（例如Hiveserver2）开放，因此该漏洞可能无法被利用。此外，当 <code>metastore.try.direct.sql</code> 属性设置为false时，无法执行到易受攻击的代码。</p>