Apache Kylin命令注入漏洞安全公告
发布时间:
2023-01-05
文章来源:
作者
发布人:
wlaq
浏览次数:

发布时间:2023-01-05文章来源:网络与信息中心作者: 发布人:wlaq 浏览次数:72


1.CVE-2022-43396: 命令注入漏洞



组件: Kylin


漏洞类型: 命令注入


影响: 服务器接管


简述: 该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。



2.CVE-2022-44621: 命令注入漏洞



组件: Kylin


漏洞类型: 命令注入


影响: 服务器接管


简述: 该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。



3.影响版本

组件影响版本安全版本

Apache Kylin2.x,3.x,4.x < 4.0.3>= 4.0.3



4.修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本.




引用自:https://cert.360.cn/warning/detail?id=b0bac5d36169527ab63b3ea3bc257582

Copyright 2013 中国海洋大学网络与信息中心
电话:0532-66782160
邮箱:wlzx@ouc.edu.cn
地址:青岛市松岭路238号,中国海洋大学 图书馆B楼
邮编:266000