- 您的需求已经提交,我们将在48小时内联系您
- 全国服务热线:400-1000-221
确定
- 免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用
CVE-2020-13937|Apache Kylin的未授权配置泄露漏洞
作者:
发布时间:2020-10-20
漏洞描述:
Apache Kylin 有一个restful api会在没有认可认证的情况下暴露配置信息。
攻击者可利用该漏洞获取系统敏感信息。
漏洞等级:高危
受影响的版本:
Kylin 2.x.x
Kylin <= 3.1.0
Kylin 4.0.0-alpha
安全版本:
Kylin 3.1.1
PoC:
截止目前,暂未公开
漏洞修复:
升级到安全版本,或执行以下缓解措施:
编辑 "$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml";
删除下列行 "<scr:intercept-url pattern="/api/admin/config" access="permitAll"/>";
重启 Kylin实例以使其生效。
参考链接:
https://www.mail-archive.com/dev@kylin.apache.org/msg12170.html