1.CVE-2022-43396: 命令注入漏洞
组件: Kylin
漏洞类型: 命令注入
影响: 服务器接管
简述: 该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。
2.CVE-2022-44621: 命令注入漏洞
组件: Kylin
漏洞类型: 命令注入
影响: 服务器接管
简述: 该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。
3.影响版本
组件影响版本安全版本
Apache Kylin2.x,3.x,4.x < 4.0.3>= 4.0.3
4.修复建议
通用修补建议
根据影响版本中的信息,排查并升级到安全版本.
引用自:https://cert.360.cn/warning/detail?id=b0bac5d36169527ab63b3ea3bc257582