CVE-2026-42812 — 神龙十问 AI 深度分析摘要

🚨 **本质**：`write.metadata.path` 属性修改时，**绕过了位置验证代码**。💥 **后果**：元数据被写入**攻击者指定的不可信存储位置**，导致后续凭证代售（Credential Vending）可能泄露或篡改该范围内的所有数据。

🛡️ **CWE-863**：不正确的授权。🔍 **缺陷点**：仅通过 `ALTER TABLE` 修改 `write.metadata.path` 时，Polaris **跳过了预期的预写位置检查**，直接持久化路径。

📦 **厂商**：Apache Software Foundation。🏷️ **产品**：Apache Polaris（基于 Apache Iceberg 元数据管理）。

🕵️ **黑客能力**：具备修改表设置权限的用户，可将元数据写入任意**可达存储前缀**。📉 **影响**：若后续凭证验证通过，可**读取、修改或删除**该存储桶/前缀下的所有数据（不仅是中毒表）。

⚠️ **门槛**：中等。需 **L 级权限**（PR:L，需认证）。🔑 **关键配置**：需 `polaris.config.allow.unstructured.table.location=true` 且 `allowedLocations` 白名单足够宽泛以覆盖目标路径。

🚫 **无现成 Exp**：数据中 `pocs` 为空，暂无公开 PoC 或已知在野利用。但逻辑清晰，利用难度取决于配置复杂度。

🔍 **自查特征**：检查 Polaris 配置中 `allow.unstructured.table.location` 是否为 `true`。📋 **审计**：监控是否有用户通过 `ALTER TABLE` 修改 `write.metadata.path` 指向非预期存储路径。

📅 **发布时间**：2026-05-04。🔗 **参考**：Apache 邮件列表公告。具体补丁版本需查阅官方最新 Release Notes（数据未提供具体版本号，仅指出缺陷存在）。

🛡️ **临时规避**：将 `polaris.config.allow.unstructured.table.location` 设置为 **`false`**。⚠️ **注意**：这虽能阻止持久化/凭证代售变体，但**无法修复底层跳过检查的代码缺陷**，仅缓解影响。

🔥 **优先级**：**高** (CVSS 3.1 / 9.8)。📊 **理由**：CVSS 向量显示 **AV:N/AC:L/PR:L/S:C/C:H/I:H/A:H**，涉及**范围变更 (S:C)** 且机密性、完整性、可用性均受损，需立即关注配置与补丁。