Apache Kylin config 未授权配置泄露 CVE-2020-13937

最新推荐文章于 2023-07-31 20:07:44 发布
最新推荐文章于 2023-07-31 20:07:44 发布
阅读量367 收藏
点赞数
分类专栏: 漏洞复现 文章标签: apache kylin hive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46801402/article/details/127664748
版权

漏洞描述:

Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。

Apache Kylin 有一个restful api会在没有认可认证的情况下暴露配置信息。攻击者可利用该漏洞获取系统敏感信息

漏洞利用条件:

Apache Kylin 有一个restful api会在没有认可认证的情况下暴露配置信息

漏洞影响范围:

Kylin 2.x.x

Kylin <= 3.1.0

Kylin 4.0.0-alpha

漏洞复现:

1.验证poc:/kylin/api/admin/config

 

修复建议:

1.升级到安全版本,或执行以下缓解措施:

2.编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml";

3.删除下列行 "<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>";

 

重启 Kylin实例以使其生效。

想要暴富的小林子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Kylin 远程命令执行漏洞复现[CVE-2020-13925]
0xSec
12-25 863
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
cvss漏洞评分标准_CVE202013937 | Apache Kylin信息泄露漏洞通告
weixin_39887221的博客
12-23 313
0x00 漏洞概述CVEIDCVE-2020-13937时 间2020-10-20类 型信息泄露等 级高危远程利用是影响范围ApacheKylinApache软件基金会的一款开源的分布式分析型数据仓库。其主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能以支持超大规模的数据查询。0x01 漏洞详情2020年10月19日,Apache Kylin发布...
Apache Kylin授权配置泄露
自强不息
05-07 348
​我不管这个世上的人怎么说我,我只想依照我的信念做事,绝不后悔,不管现在将来都一样!
CVE-2020-13937 Apache Kylin 配置不当导致敏感信息泄露漏洞
afeng12345678的博客
07-31 600
Apache Kylin配置不当漏洞白盒审计分析。分析文章为本人原创,转载请注明出处。
Apache Kylin授权配置泄露漏洞(CVE-2020-13937)复现
锋刃科技的博客
03-05 2571
漏洞概述 Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache HiveApache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。 ApacheKylin有一个restfulapi会在没有认可认证的情况下暴露配置信息...
Apache Kylin漏洞
公众号shadow sock7
07-31 345
参考: https://nvd.nist.gov/vuln/detail/CVE-2020-1956 Apache Kylin历史漏洞分析 https://community.sonarsource.com/t/apache-kylin-3-0-1-command-injection-vulnerability/25706 https://developer.baidu.com/topic/show/290847 Apache Kylin 2.3.0, and releases up to 2.6.5
Apache Kylin授权访问
m0_73042016的博客
02-23 144
Apache Kylin授权访问
Apache Kylin远程代码执行漏洞CVE-2020-1956)复现
锋刃科技的博客
03-05 1292
简介 Apache Kylin是美国 Apache软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供 Hadoop/Spark之上的 SQL查询接口及多维分析(OLAP)等功能。 漏洞概述 在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,由于对用户输入内容做合理校验,导致攻击者可以在经验证的情况下执行任意系统命令。 影响版本 Kylin 2.3.0-2.3.2 Kylin 2.4.0-2.4.1 Kyl...
CVE-2020-1956 Apache kylin命令执行漏洞分析
afeng12345678的博客
07-31 333
Apache Kylin命令执行漏洞白盒复现分析。分析文章为本人原创,转载请注明出处。
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
在2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
Kylin-Desktop-V10-GFB-Release-020-ARM64-cmake 安装包
12-30
Kylin-Desktop-V10-GFB-Release-020-ARM64—cmake 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—cmake 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—cmake 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM...
Kylin-Desktop-V10-GFB-Release-020-ARM64-g++ 安装包
12-30
Kylin-Desktop-V10-GFB-Release-020-ARM64—g++ 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—g++ 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—g++ 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—g++...
Kylin-Server-10-SP1-Release-Build20-20210518-arm64
最新发布
02-02
Kylin-Server-10-SP1-Release-Build20-20210518-arm64 银河麒麟V10 鲲鹏ARM版本 build20
service注入为空_Apache Kylin 命令注入漏洞 CVE20201956
weixin_39977136的博客
11-27 182
点击蓝字关注我们声明本文作者:Peiqi 本文字数:4000阅读时长:40min附件/链接:点击查看原文下载声明:请勿用作违法用途,否则后果自负本文属于WgpSec原创奖励计划,经许可禁止转载前言漏洞复现一、漏洞描述2020年5月22日,CNVD 通报了 Apache Kylin 存在命令注入漏洞 CVE-2020-1956,地址在 http://www.cnnvd.org.cn/we...
Apache Kylin 命令注入漏洞复现(CVE-2020-1956)
0xSec
12-30 823
Apache Kylin 中的静态 API 存在安全漏洞,可以将os命令与用户输入字符串连接起来,攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8073
多次跳转导致的ssrf
查看openssh版本_OpenSSH命令注入漏洞复现(CVE202015778)
weixin_39707536的博客
12-06 1603
OpenSSH命令注入漏洞复现(CVE-2020-15778)目录漏洞描述漏洞等级漏洞影响版本漏洞复现修复建议▶漏洞描述 OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。 2020年6月9日,研...
CVE-2020-17519 漏洞复现
weixin_43885355的博客
01-31 1310
CVE-2020-17519 0x00 简介 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 0x01 漏洞概述 CVE-2020-17519 任意文件读取漏洞 Apache Flink 1.11.0中引入了一项更新,该更新在1.11.1及更高的版本和1.11.2中发布。 该项更新允许攻击者通过JobManager进程的REST API读取JobManag
kylin-server-10-sp1-release-下载
08-16
kylin-server-10-sp1-release-下载是用来获取Kylin 10 Service Pack 1 版本的安装包的步骤。 首先,我们需要打开Kylin官方网站,然后进入下载页面。在下载页面中,我们可以找到kylin-server-10-sp1-release的下载链接。 点击下载链接后,开始下载安装包。下载时间会根据网络速度和服务器负载情况而有所不同。 下载完成后,我们可以找到下载的安装包文件。一般情况下,它会保存在电脑的默认下载文件夹中。 接下来,我们需要执行安装包文件。双击该文件,系统会弹出安装向导。按照向导的指示,选择安装的位置、安装选项等相关信息。 在安装过程中,系统会自动将相关文件复制到指定的位置,并进行必要的配置。 安装完成后,我们可以在系统中找到Kylin 10 Service Pack 1 版本的相关图标或程序。双击相应的图标或程序,即可进入Kylin服务。 以上就是关于kylin-server-10-sp1-release-下载的简要说明,希望能对您有所帮助。如果您还有其他问题,请随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值