【漏洞通告】Apache Kylin命令注入漏洞(CVE-2022-43396)

0x00 漏洞概述

CVE ID

CVE-2022-43396

發現時間

2023-01-03

類 型

命令注入

等 級

高危

遠端利用

影響範圍

攻擊複雜度

使用者互動

PoC/EXP

在野利用

0x01 漏洞詳情

Apache Kylin是一個開源的分散式分析引擎,旨在為Apache Hadoop提供SQL接口和多維分析(OLAP),支持超大資料集。

2022年12月30日,Apache發佈安全公告,披露了Apache Kylin中的一個命令注入漏洞(CVE-2022-43396)。

該漏洞源於Apache Kylin命令注入漏洞(CVE-2022-24697)修復措施的安全繞過(黑名單繞過),惡意使用者可以通過控制conf的kylin.engine.spark-cmd參數來執行命令。

影響範圍

Apache Kylin版本 < 4.0.3

0x02 安全建議

目前該漏洞已經修復,Apache Kylin 2.x 、3.x 、4.x使用者可及時升級到4.0.3版本或應用補丁。

下載連結:

https://kylin.apache.org/download/

補丁連結:

https://github.com/apache/kylin/pull/2011

0x03 參考連結

https://lists.apache.org/thread/ob2ks04zl5ms0r44cd74y1xdl1rzfd1r

https://lists.apache.org/thread/o53vqxjdd9q731bwqpgcqyzx9r716qwx

https://lists.apache.org/thread/07mnn9c7o314wrhrwjr10w9j5s82voj4

0x04 版本資訊

版本

日期

修改內容

V1.0

2023-01-03

首次發佈

相關文章

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...