CVE-2026-42810 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Polaris 在处理命名空间/表名中的字面量 `*` 时，未将其转义就直接拼接到 S3 IAM 策略中。 🔥 **后果**：S3 将 `*` 解析为通配符，导致**跨表访问**。攻击者可用精心构造的表名获取临时凭据，进而读取、列出、创建或删除其他表的 S3 对象及元数据 JSON。

🛡️ **CWE-116**：不正确的转义或编码。 🔍 **缺陷点**：在构建 S3 委托访问策略时，`*` 字符在资源模式（Resource Pattern）和 `s3:prefix` 条件中**未被转义**，导致语义混淆。

🏢 **厂商**：Apache Software Foundation 📦 **产品**：Apache Polaris 📌 **受影响版本**：测试确认 **Polaris 1.4.0** 存在此问题。

🕵️ **攻击者能力**： 1. **读取**：获取其他表的 Iceberg 元数据 JSON（知道数据文件位置、快照版本）。 2. **列出**：查看其他表的 S3 前缀。 3. **写入/删除**：若拥有写权限委托，可在其他表前缀下创建或删除对象。 💥 **核心风险**：不仅泄露信息，还可篡改数据。

⚖️ **门槛**：中等。 🔑 **认证**：需要**低权限**（命名空间级的 `TABLE_CREATE` 和 `TABLE_WRITE_DATA`，作用于 `*`）。 🚫 **无需**：直接访问受害表的 Polaris 权限。攻击者只需创建恶意表（如 `*.*`）即可触发漏洞。

📄 **PoC**：数据中未提供公开 PoC 链接。 🌍 **在野**：目前仅提及在 MinIO 和 AWS S3 上的私有测试，**暂无**公开在野利用报告。

🔍 **自查特征**： 1. 检查 Polaris 配置中是否允许在表名/命名空间中使用字面量 `*`。 2. 审查 S3 IAM 策略生成逻辑，看是否对 `*` 进行了转义。 3. 测试创建如 `f*.t1`、`*.*` 等表，验证其临时凭据是否能访问非预期表路径。

🛠️ **补丁状态**：数据中未提供具体补丁版本或修复链接。 📢 **参考**：建议查阅 Apache 官方邮件列表公告（链接见 references）以获取最新修复信息。

⚠️ **临时规避**： 1. **禁用通配符**：在 Polaris 配置或前端校验中，**禁止**在命名空间和表名中使用字面量 `*` 字符。 2. **最小权限**：严格限制 `TABLE_CREATE` 和 `TABLE_WRITE_DATA` 的作用范围，避免授予 `*` 通配权限。

🔥 **优先级**：**高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H（严重）。 💡 **建议**：鉴于无需高权限即可利用，且涉及数据泄露和篡改，建议**立即**实施临时规避措施，并尽快升级至修复版本。