Apache Kylin漏洞

最新推荐文章于 2024-08-19 20:17:43 发布
最新推荐文章于 2024-08-19 20:17:43 发布
阅读量363 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/107714301
版权

参考:

  • https://nvd.nist.gov/vuln/detail/CVE-2020-1956
  • Apache Kylin历史漏洞分析
  • https://community.sonarsource.com/t/apache-kylin-3-0-1-command-injection-vulnerability/25706
  • https://developer.baidu.com/topic/show/290847

Apache Kylin 2.3.0, and releases up to 2.6.5 and 3.0.1 has some restful apis which will concatenate os command with the user input string, a user is likely to be able to execute any os command without any protection or validation.

据说环境不好搭,还是用docker吧。

caiqiiqi
关注
专栏目录
Apache Kylin 命令注入漏洞复现(CVE-2020-1956)
0xSec
12-30 922
Apache Kylin 中的静态 API 存在安全漏洞,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。
Apache Kylin 远程命令执行漏洞复现[CVE-2020-13925]
0xSec
12-25 971
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
CVE-2020-13937 Apache Kylin 配置不当导致敏感信息泄露漏洞
afeng12345678的博客
07-31 830
Apache Kylin配置不当漏洞白盒审计分析分析文章为本人原创,转载请注明出处。
Apache漏洞
最新发布
qq_50296568的博客
08-19 475
通过对apr_filepath_merge函数传入参数的长度+4大于APR_PATH_MAX,也就是4096的时候,则函数会返回一个路径过长的状态码,导致最后unix套接字的值是null,实现绕过unix套接字判断。(有一些带有防火墙功能的产品也有类似的漏洞比如:1Panel 远程代码执行 CVE-2024-39911)在Apache Solr 7.1之前的版本和Apache Lucene 7.1之前的版本中有RCE漏洞。SSI是一种在服务器端执行的脚本语言,通过在HTML文件中插入。
Apache Kylin远程代码执行漏洞(CVE-2020-1956)复现
玄道的网安博客
03-05 1348
简介 Apache Kylin是美国 Apache软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供 Hadoop/Spark之上的 SQL查询接口及多维分析(OLAP)等功能。 漏洞概述 在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。 影响版本 Kylin 2.3.0-2.3.2 Kylin 2.4.0-2.4.1 Kyl...
拼接符 防注入正则校验_Apache Kylin 命令注入漏洞调试分析(CVE-2020-1956)
weixin_39633917的博客
12-01 213
1、前言Apache Kylin是一个开源的、分布式的分析型数据仓库,提供Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据。近日,百度云安全团队监测到Apache官方发出了一个漏洞通告,披露了Apache kylin多版本存在命令注入漏洞漏洞编号为CVE-2020-1956。由于Apache Kylin依赖的组件较多,自行搭建环境较为困难,我们采用了...
c++获取一段代码的执行时间_Apache Kylin 远程代码执行漏洞CVE20201956
weixin_39885412的博客
11-21 119
2020年5月28日,Apache Kylin官方发布安全公告,披露了一个Apache Kylin远程代码执行漏洞Kylin有一些restful API,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。漏洞名称:Apache Kylin 远程代码执行漏洞CVE-2020-1956威胁等级:高危漏洞类型:远程代码执行利用难度:简单...
service注入为空_Apache Kylin 命令注入漏洞 CVE20201956
weixin_39977136的博客
11-27 193
点击蓝字关注我们声明本文作者:Peiqi 本文字数:4000阅读时长:40min附件/链接:点击查看原文下载声明:请勿用作违法用途,否则后果自负本文属于WgpSec原创奖励计划,未经许可禁止转载前言漏洞复现一、漏洞描述2020年5月22日,CNVD 通报了 Apache Kylin 存在命令注入漏洞 CVE-2020-1956,地址在 http://www.cnnvd.org.cn/we...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 未授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via Velocity template RCE ...CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 Apache Solr 未授权上传
Apache Kylin的未授权配置泄露
自强不息,厚德载物
05-07 450
​我不管这个世上的人怎么说我,我只想依照我的信念做事,绝不后悔,不管现在将来都一样!
apache Tomcat 漏洞
09-27
apache Tomcat 漏洞
Apache Kylin config 未授权配置泄露 CVE-2020-13937
weixin_46801402的博客
11-03 437
Apache Kylin config 未授权配置泄露 CVE-2020-13937
CVE-2020-1956 Apache kylin命令执行漏洞分析
afeng12345678的博客
07-31 381
Apache Kylin命令执行漏洞白盒复现分析分析文章为本人原创,转载请注明出处。
漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)
爱国小白帽
05-30 2028
漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956) 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 昨天 通告编号:NS-2020-0035 2020-05-29 TA****G: Apache Kylin、命令执行、CVE-2020-1956 漏****洞危害: 攻击者利用此漏洞,可实现远程命令执行,PoC已公开。 版本: 1.0 1 漏洞概述 近日,Apache官方发布安全公告,修复了一个Apache K
apache相关漏洞
m0_48520508的博客
09-30 4138
CVE-2019-17564-Apache Dubbo反序列化漏洞 CVE-2020-1938-Apache Tomcat文件包含漏洞 CVE-2020-1948-Apache Dubbo反序列化漏洞 CVE-2020-1956-Apache Kylin远程命令执行漏洞 CVE-2020-9480-Apache Spark远程代码执行漏洞 CVE-2020-9483-Apache SkyWalkingSQL注入漏洞
Apache解析漏洞
热门推荐
weixin_44174581的博客
08-04 1万+
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准) 1. 如图,最后一个后缀名为.xxx,不合法,所以向左看,.php为合法后缀,所以以.php格式解析,可用来绕过黑名单过滤 2.AddHandler导致的解析漏洞 如果服务器给.php后缀添加了处理器:AddHandler application/x-httpd-php.php 那么,在有多个后缀
Apache Kylin 2020年重大漏洞:远程命令执行风险
"CVE-2020-13925 是一个影响Apache Kylin这款大数据分析平台的严重安全漏洞,该漏洞允许远程命令执行。Apache Kylin是一款开源的OLAP(在线分析处理)工具,主要用于实时数据仓库和多维数据分析漏洞主要存在于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值