Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)

  • A+
所属分类:安全漏洞

简介

Apache Kylin™是一个开源的、分布式的分析型数据仓库,提供Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 eBay 开发并贡献至开源社区。它能在亚秒内查询巨大的表。

漏洞概述

Apache Kylin中存在安全漏洞,该漏洞源于某一API没有进行输入验证。远程攻击者可利用该漏洞执行命令。

影响版本

Apache Kylin2.3.0版本版本,2.3.1版本版本,2.3.2版本版本,2.4.0版本版本,2.4.1版本版本,2.5.0版本版本,2.5.1版本版本,2.5.2版本,2.6.0版本版本,2.6.1版本版本,2.6.2版本版本,2.6.3版本版本,2.6.4版本版本,2.6.5版本版本,2.6.6版本版本,3.0.0-alpha版本,3.0.0-alpha2版本,3.0.0-beta版本,3.0.0版本版本,3.0.1 3.0.2版本。


环境搭建

这里使用 docker 来搭建需要的环境

Kylin官方文档

http://kylin.apache.org/cn/docs/install/kylin_docker.htmldocker pull apachekylin/apache-kylin-standalone:3.0.1


Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)

如果服务器内存较小,可不选择 -m 8G 参数

docker run -d -m 8G -p 7070:7070 -p 8088:8088 -p 50070:50070 -p 8032:8032 -p 8042:8042 -p 16010:16010 apachekylin/apache-kylin-standalone:3.0.1


Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)

访问Kylin 页面:http://127.0.0.1:7070/kylin/login

登录账号吗密码,默认账号密码admin/KYLIN

Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)

Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)

登录成功即为环境安装完成


漏洞复现

登录账号

 GetUrl /kylin/api/diag/project/{project}/download


Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)


修复建议

 

升级到安全版本


本文始发于微信公众号(锋刃科技):Apache Kylin 远程操作系统命令注入漏洞(CVE-2020-13925)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: