【漏洞预警】Apache Kylin命令注入漏洞

1. 通告信息

近日，安识科技A-Team团队监测到Apache发布安全公告，披露了Apache Kylin中的一个命令注入漏洞，漏洞编号：CVE-2022-43396，漏洞等级：高危。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

漏洞名称：Apache Kylin命令注入漏洞

CVE编号：CVE-2022-43396

简述：在CVE-2022-24697的修复中，黑名单用于过滤用户输入命令，但存在被忽视的风险，用户可以控制conf的命令参数来执行命令。

3. 漏洞危害

Apache Kylin是一个开源的分布式分析引擎，旨在为Apache Hadoop提供SQL接口和多维分析（OLAP），支持超大数据集。

该漏洞源于Apache Kylin命令注入漏洞（CVE-2022-24697）修复措施的安全绕过（黑名单绕过），恶意用户可以通过控制conf的kylin.engine.spark-cmd参数来执行命令。

4. 影响版本

Apache Kylin版本 < 4.0.3

5. 解决方案

目前该漏洞已经修复，Apache Kylin 2.x 、3.x 、4.x用户可及时升级到4.0.3 版本或应用补丁。

下载链接：

https://kylin.apache.org/download/

补丁链接：

https://github.com/apache/kylin/pull/2011

6. 时间轴

【-】2023年01月02日 安识科技A-Team团队监测到漏洞公布信息

【-】2023年01月03日 安识科技A-Team团队根据漏洞信息分析

【-】2023年01月04日 安识科技A-Team团队发布安全通告

原文始发于微信公众号（SecPulse安全脉搏）：【漏洞预警】Apache Kylin命令注入漏洞