近日,发现2个Apache Kylin 命令注入漏洞的漏洞细节在互联网公开,漏洞编号为CVE-2022-43396,CVE-2022-44621,漏洞等级:严重,漏洞评分:9.8。
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
一、漏洞介绍
CVE-2022-43396:
该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。
CVE-2022-44621:
该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。
二、漏洞影响
影响范围:Apache Kylin(2.x,3.x,4.x < 4.0.3)
三、修复建议
修复建议:根据影响版本中的信息,排查并升级到安全版本。
下载链接:https://kylin.apache.org/
补丁链接:https://github.com/apache/kylin/pull/2011
