Kylin
Уязвимости
29
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.9796
Распределение по критичности
Критический
10
Высокий
15
Средний
4
Низкий
0
Затронутые диапазоны версий
2.0.0–2.6.62.0.0–3.1.02.0.0–4.0.42.0.0–5.0.02.3.0–2.3.22.3.0–3.1.03.0.0–3.1.24.0.0–5.0.24.0.0–5.0.35.0.0–5.0.2< 4.0.3
Также сопоставлено как (исходные строки): kylin
Топ уязвимостей
CVE-2022-44621Контроллер диагностики пропускает проверку параметров, поэтому пользователь может быть атакован путем внедрения команд через HTTP-запрос.
CVE-2022-24697Функция cube designer Kylin имеет уязвимость внедрения команд при перезаписи системных параметров в меню перезаписи конфигурации. RCE может быть реализован путем закрытия одинарных кавычек вокруг значения параметра «--conf=» для внедрения любой команды операционной системы в параметры командной строки. Эта уязвимость затрагивает Kylin 2 версии 2.6.5 и более ранние, Kylin 3 версии 3.1.2 и более ранние и Kylin 4 версии 4.0.1 и более ранние.
CVE-2021-45456Apache Kylin проверяет легитимность проекта перед выполнением некоторых команд с именем проекта, переданным пользователем. Существует несоответствие между тем, что проверяется, и тем, что используется в качестве аргумента командной строки в DiagnosisService. Это может привести к тому, что недопустимое имя проекта пройдет проверку и выполнит следующие шаги, что приведет к уязвимости внедрения команд. Эта проблема затрагивает Apache Kylin 4.0.0.
CVE-2021-31522Kylin может получать пользовательский ввод и загружать любой класс через Class.forName(...). Эта проблема затрагивает Apache Kylin 2 версии 2.6.6 и более ранние версии; Apache Kylin 3 версии 3.1.2 и более ранние версии; Apache Kylin 4 версии 4.0.0 и более ранние версии.
CVE-2020-13926Kylin объединяет и выполняет Hive SQL в Hive CLI или beeline при создании нового сегмента; некоторая часть HQL берется из системных конфигураций, в то время как конфигурация может быть перезаписана определенным rest api, что делает возможной атаку SQL-инъекцией. Пользователям всех предыдущих версий после 2.0 следует обновиться до 3.1.0.
CVE-2020-13925Подобно CVE-2020-1956, Kylin имеет еще один restful API, который объединяет входные данные API в команды ОС, а затем выполняет их на сервере; в то время как в сообщенном API отсутствует необходимая проверка входных данных, что дает хакерам возможность удаленно выполнять команды ОС. Пользователям всех предыдущих версий после 2.3 следует обновиться до 3.1.0.
BDU:2022-01379Уязвимость платформы обработки данных Kylin связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольную команду
BDU:2022-00732Уязвимость класса Class.forName(...) платформы обработки данных Kylin связана с применением входных данных с внешним управлением для выбора классов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность информации
BDU:2020-04473Уязвимость механизма RESTFull API платформы обработки данных Kylin связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
CVE-2024-23590Уязвимость Session Fixation в Apache Kylin.
Эта проблема затрагивает Apache Kylin: с версии 2.0.0 по 4.x.
Пользователям рекомендуется обновиться до версии 5.0.0 или выше, в которой эта проблема устранена.
CVE-2022-43396В исправлении для CVE-2022-24697 используется черный список для фильтрации команд ввода пользователя. Но есть риск обхода. Пользователь может управлять командой, контролируя параметр kylin.engine.spark-cmd в conf.
CVE-2020-1956Apache Kylin 2.3.0 и выпуски до 2.6.5 и 3.0.1 имеют некоторые RESTful API, которые будут объединять команду ОС со введенной пользователем строкой, пользователь, вероятно, сможет выполнять любую команду ОС без какой-либо защиты или проверки.
CVE-2020-1937Kylin имеет некоторые RESTful API, которые будут объединять SQL с введенной пользователем строкой, пользователь, вероятно, сможет выполнять вредоносные запросы к базе данных.
CVE-2025-61734Уязвимость «Файлы или каталоги доступны внешним сторонам» в Apache Kylin.
Всё в порядке, если доступ к системе Kylin и администрированию проекта надёжно защищён.
Эта проблема затрагивает версии Apache Kylin с 4.0.0 по 5.0.2 включительно.
Рекомендуется обновить до версии 5.0.3, в которой уязвимость исправлена.
Обсуждение уязвимости происходит на сайте, где требуется включённый JavaScript [1].
Источники:
- [1] https://lists.apache.org/thread/z705g7sn3g0bkchlqbo1hz1tyqorn4d2
CVE-2025-61733Уязвимость типа Authentication Bypass через альтернативный путь или канал в Apache Kylin (версии 4.0.0‑5.0.2). Пользователям рекомендуется обновиться до версии 5.0.3, где проблема исправлена. Some info from source 1 [1]
Источники:
- [1] https://lists.apache.org/thread/8wmcffly6gp50nmfw8j4w3hlmv843yo0
CVE-2023-29055В Apache Kylin версиях с 2.0.0 до 4.0.3 существует веб-интерфейс Server Config, который отображает содержимое файла 'kylin.properties', который может содержать учетные данные серверной стороны. Когда служба kylin работает по HTTP (или другому протоколу открытого текста), злоумышленники в сети могут перехватывать полезную нагрузку HTTP и получить доступ к содержимому kylin.properties и потенциально к содержащимся учетным данным.
Чтобы избежать этой угрозы, пользователям рекомендуется:
* Всегда включать HTTPS, чтобы полезная нагрузка сети была зашифрована.
* Избегать размещения учетных данных в kylin.properties, или по крайней мере, не в открытом тексте.
* Использовать сетевые файрволы для защиты серверной стороны, чтобы она не была доступна внешним злоумышленникам.
* Обновиться до версии Apache Kylin 4.0.4, которая отфильтровывает чувствительное содержимое, отправляемое в веб-интерфейс Server Config.
CVE-2021-45458Apache Kylin предоставляет классы шифрования PasswordPlaceholderConfigurer, чтобы помочь пользователям зашифровать свои пароли. В алгоритме шифрования, используемом этим классом шифрования, шифр инициализируется с жестко закодированным ключом и IV. Если пользователи используют класс PasswordPlaceholderConfigurer для шифрования своего пароля и настраивают его в файле конфигурации Kylin, существует риск того, что пароль может быть расшифрован. Эта проблема затрагивает Apache Kylin 2 версии 2.6.6 и более ранних версий; Apache Kylin 3 версии 3.1.2 и более ранних версий; Apache Kylin 4 версии 4.0.0 и более ранних версий.
CVE-2021-45457В Apache Kylin кросс-доменные запросы с учетными данными разрешено отправлять из любого источника. Эта проблема затрагивает Apache Kylin 2 версии 2.6.6 и более ранних версий; Apache Kylin 3 версии 3.1.2 и более ранних версий; Apache Kylin 4 версии 4.0.0 и более ранних версий.
CVE-2021-27738Все сопоставления запросов в `StreamingCoordinatorController.java`, обрабатывающие конечные точки REST API `/kylin/api/streaming_coordinator/*`, не включали никаких проверок безопасности, что позволяло неаутентифицированному пользователю отправлять произвольные запросы, такие как назначение/отмена назначения потоковых кубов, создание/изменение и удаление наборов реплик, координатору Kylin. Для конечных точек, принимающих сведения об узле в теле HTTP-сообщения, можно добиться неаутентифицированной (но ограниченной) подделки запросов на стороне сервера (SSRF). Эта проблема затрагивает Apache Kylin Apache Kylin 3 версий до 3.1.2.
BDU:2025-12701Уязвимость платформы обработки данных Kylin связана с обходом процедуры аутентификации посредством использования альтернативного пути или канала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
BDU:2022-03401Уязвимость компонента StreamingCoordinatorController.java (/kylin/api/streaming_coordinator/*) платформы обработки данных Kylin связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять атаки SSRF с помощью специально созданного HTTP-запроса
BDU:2022-00468Уязвимость драйвера Java Database Connectivity (JDBC) платформы обработки данных Kylin связана с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2025-61735Уязвимость Server-Side Request Forgery (SSRF) в Apache Kylin. Поскольку уязвимость затрагивает версии Apache Kylin от 4.0.0 до 5.0.2, система и доступ администраторов проекта должны быть надёжно защищены. Рекомендуется обновить до версии 5.0.3, в которой проблема исправлена. Подробнее см. источник [1].
Источники:
- [1] https://lists.apache.org/thread/yscobmx869zvprsykb94r24jtmb58ckh
CVE-2025-30067Уязвимость неправильного контроля генерации кода ('Инъекция кода') в Apache Kylin.
Если злоумышленник получает доступ к системному администратору Kylin или проекту, конфигурация JDBC-соединения может быть изменена для выполнения произвольного кода из удаленного источника. Вы в безопасности, если доступ администраторов Kylin и проекта хорошо защищен.
Эта проблема затрагивает Apache Kylin: с 4.0.0 до 5.0.1.
Пользователям рекомендуется обновиться до версии 5.0.2 или выше, которая исправляет эту проблему.
BDU:2025-03522Уязвимость конфигурации драйвера JDBC Driver платформы обработки данных Kylin связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код