Apache Kylin 存在命令注入漏洞CVE-2022-24697

近日,我司监测到Apache发布安全公告,修复了一个存在于Kylin中的安全漏洞,该漏洞存在于Kylin的多维数据集设计器函数中,通过覆盖配置中的系统参数来覆盖掉菜单配置触发漏洞。通过闭合“--conf=”参数值两边的单引号,将任意系统命令注入到命令行参数中来实现RCE。

Apache Kylin是美国阿帕奇(Apache)软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。

 

影响版本:

  • Apache Kylin < 4.0.2

安全版本:

  • Apache Kylin = 4.0.2

 

修复建议:

官方已经针对漏洞发布了软件更新,下载地址如下:

发表评论

评论已关闭。

相关文章