Kinghao

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Linkis de 1.3.0 a 1.7.0 **Descrição** Existe uma falha no Apache Linkis ao utilizar o mecanismo JDBC e a funcionalidade de fonte de dados. Múltiplas rodadas de codificação URL aplicadas ao parâmetro URL configurado no frontend podem contornar as verificações do sistema. Esse contorno pode permitir acesso não autorizado a arquivos do sistema por meio de parâmetros JDBC. O problema está relacionado à validação insuficiente das informações de conexão, especificamente no que diz respeito à presença do caractere '%'. **Recomendações** Atualize para a versão 1.8.0, que corrige este problema. Verifique continuamente se as informações de conexão contêm o caractere "%" e realize a decodificação URL caso contenham.

**Nome do Software Vulnerável e Versões Afetadas** Apache Linkis versões 1.0.0 a 1.7.0 **Descrição** Existe uma falha na qual a função `decode()` dentro de org.apache.linkis.metadata.util.HiveUtils não trata adequadamente as falhas de decodificação Base64. Quando a decodificação falha, o parâmetro de entrada completo, que pode conter informações sensíveis como chaves do Hive Metastore ou senhas em texto claro, é registrado no nível de erro. Isso pode levar ao vazamento de informações se os arquivos de log estiverem acessíveis a usuários não autorizados. A probabilidade de falha na decodificação Base64 é baixa, e o vazamento só é acionado quando logs de nível de erro são expostos. **Recomendações** Atualize para o Apache Linkis versão 1.8.0 ou posterior, que substitui o registro do parâmetro de entrada por conteúdo dessensibilizado.