Apache Kylin 漏洞列表

Apache Kylin 2.0.0, 2.1.0, 2.2.0, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 3.0.0-alpha, 3.0.0-alpha2, 3.0.0-beta, 3.0.0, 3.0.1, 3.0.2, 3.1.0, 4.0.0-alpha have one REST API which exposed Kylin's configuration information without authentication. app="APACHE-kylin"

Apache Kylin 2.0.0, 2.1.0, 2.2.0, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 3.0.0-alpha, 3.0.0-alpha2, 3.0.0-beta, 3.0.0, 3.0.1, 3.0.2, 3.1.0, 4.0.0-alpha have one REST API which exposed Kylin's configuration information without authentication.

Apache Kylin 2.3.0, and releases up to 2.6.5 and 3.0.1 has some restful apis which will concatenate os command with the user input string, a user is likely to be able to execute any os command without any protection or validation.

ApacheKylin是一个开源的分布式分析引擎，它为Hadoop等大型分布式数据平台之上的超大规模数据集提供亚秒级的交互式分析能力，通过标准SQL查询及多维分析（OLAP）功能，使用户能够处理TB乃至PB级别的分析任务。kylin存在命令注入漏洞，攻击者通过默认账号密码进入系统执行任意命令，获取系统权限。

Apache Kylin中存在命令注入漏洞。该漏洞是由于验证提交到服务器的多维数据集配置中的系统参数不正确导致的。

Apache Kylin存在命令注入漏洞。该漏洞是由于Apache Kylin允许攻击者在构建数据集时设置不安全的"kylin.engine.spark-cmd"配置项导致的。

Apache Kylin存在命令注入漏洞，此漏洞是由于缺乏校验导致的。

【漏洞对象】Apache Kylin 【涉及版本】Kylin 2.x.x,Kylin <= 3.1.0,Kylin 4.0.0-alpha【漏洞描述】Apache Kylin是一个开源的、分布式的分析型数据仓库。攻击者可构造恶意请求，访问API地址，可以获取ApacheKylin的相关配置信息，从而导致身份凭证等信息泄漏。

【漏洞对象】apache kylin 【涉及版本】apache kylin【漏洞描述】kylin是目前大数据领域应用非常广泛的开源分布式的分析型数据仓库，能够提供提供Hadoop/Spark 之上的 SQL查询接口及多维分析（OLAP）能力该 WEB 系统在安装完成后会有一个默认管理员账号 admin，并且会设置固定的默认密码“KYLIN”，如果管理员没有特意修改，则黑客可以直接登陆获取大量敏感信息。

ApacheKylin是美国阿帕奇（Apache）软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。ApacheKylin中的静态API存在操作系统命令注入漏洞。攻击者可借助特制输入利用该漏洞在系统上执行任意OS命令。以下产品及版本受到影响：Apache Kylin2.3.0版本至2.3.2版本，2.4.0版本至2.4.1版本，2.5.0版本至2.5.2版本，2.6.0版本至2.6.5版本，3.0.0-alpha版本，3.0.0-alpha2版本，3.0.0-beta版本，3.0.0版本，3.0.1版本。