CVE-2025-14262
Jobs can be saved as workflows with wrong permissions on KNIME Business Hub
En resumen
Un error en KNIME Business Hub permitía que los usuarios guardaran trabajos de otras personas como si fueran el propietario original, eludiendo restricciones de seguridad sobre dónde se podían almacenar archivos.
Detalle técnico
Una verificación incorrecta de permisos en KNIME Business Hub < 1.17.0 permite que un usuario autenticado guarde trabajos de otro usuario suplantando al propietario original en el servicio de catálogo. La vulnerabilidad permite eludir controles de permiso de escritura en espacios compartidos aprovechando acceso de lectura a trabajos objetivo.
Resumen generado y traducido por IA a partir de la descripción oficial.
A wrong permission check in KNIME Business Hub before version 1.17.0 allowed an authenticated user to save jobs of other users as if there were saved by the job owner. The attacker must have permissions to access the jobs but then they were saved into the catalog service using the wrong owner permissions. Therefore it may have been possible to save into spaces where the attacker does not have write permissions.
There is no workaround.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/AU:Y/R:U/V:C/RE:M/U:Green
Productos afectados
KNIME · KNIME Business Hub¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →