Pho3N1X

#4847de 53,633

54.5CVSS total

Vulnerabilidades · 6

Alta

3

Crítica

3

Apache · Apache Kylin · CVE-2025-30067

**Nome do Software Vulnerável e Versões Afetadas** Apache Kylin versões 4.0.0 até 5.0.1 **Descrição** O problema está relacionado ao controle inadequado de geração de código, também conhecido como 'Injeção de Código'. Se um invasor obtiver acesso às permissões de administrador do sistema ou do projeto do Kylin, ele poderá alterar a configuração de conexão JDBC para executar código arbitrário de um local remoto. No entanto, se o acesso de administrador do sistema e do projeto do Kylin estiver bem protegido, o risco é mitigado. **Recomendações** Para as versões 4.0.0 até 5.0.1 do Apache Kylin, atualize para a versão 5.0.2 ou superior para corrigir o problema.

Apache · Apache Linkis · CVE-2023-41916

Nome do software vulnerável e versões afetadas: Apache Linkis versão 1.4.0 Descrição: A vulnerabilidade está relacionada à falta de filtragem eficaz dos parâmetros no módulo DataSource Manager do Apache Linkis, permitindo que um invasor configure parâmetros JDBC do MySQL maliciosos e provoque a leitura arbitrária de arquivos. Para que esse ataque seja executado, o invasor precisa obter uma conta autorizada no Linkis. Os parâmetros na URL do Mysql JDBC devem ser colocados na lista negra para impedir a exploração. Recomendações: Para o Apache Linkis versão 1.4.0, recomendamos a atualização para a versão 1.5.0 para resolver o problema. Como solução temporária, considere colocar os parâmetros da URL do Mysql JDBC na lista negra para minimizar o risco de exploração. Restrinja o acesso ao Módulo DataSource Manager apenas a contas autorizadas.

Apache · Apache Linkis · CVE-2023-46801

Nome do software vulnerável e versões afetadas: Versões do Apache Linkis <= 1.5.0 Descrição: O problema está relacionado a uma vulnerabilidade de deserialização no componente MySQL Data Source Handler do Apache Linkis, que pode ser explorada para a execução remota de código. Isso pode ser feito através da injeção de arquivos maliciosos no servidor por meio do jrmp. O ataque requer que o invasor possua uma conta autorizada no Linkis. Recomendações: Para versões do Apache Linkis <= 1.5.0, atualize a versão do Java para >= 1.8.0 241. Para versões do Apache Linkis <= 1.5.0, atualize o Linkis para a versão 1.6.0.

Unknown · Jeecg-Boot · CVE-2023-41542

**Name of the Vulnerable Software and Affected Versions** jeecg-boot version 3.5.3 **Description** The issue allows remote attackers to escalate privileges and obtain sensitive information via the jmreport/qurestSql component. This is a SQL injection vulnerability, which means attackers can inject malicious SQL code to manipulate the database. The estimated number of potentially affected devices worldwide is not specified. There is no information about real-world incidents where this issue was exploited. **Recommendations** For jeecg-boot version 3.5.3, consider disabling the jmreport/qurestSql component until a patch is available to prevent exploitation. Restrict access to sensitive information and privileges to minimize the risk of escalation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Unknown · Jeecg-Boot · CVE-2023-41543

**Name of the Vulnerable Software and Affected Versions** jeecg-boot version 3.5.3 **Description** The issue allows remote attackers to escalate privileges and obtain sensitive information via the component /sys/replicate/check. This is a SQL injection vulnerability, which means that an attacker can inject malicious SQL code to manipulate the database and extract or modify sensitive data. **Recommendations** For jeecg-boot version 3.5.3, consider disabling access to the /sys/replicate/check component until a patch is available. Additionally, restrict privileges to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Unknown · Jeecg-Boot · CVE-2023-41544

**Name of the Vulnerable Software and Affected Versions** jeecg-boot version 3.5.3 **Description** The issue is an SSTI injection vulnerability that allows remote attackers to execute arbitrary code via a crafted HTTP request to the "/jmreport/loadTableData" component. This enables attackers to potentially gain control over the system. **Recommendations** For jeecg-boot version 3.5.3, consider disabling access to the "/jmreport/loadTableData" component until a patch is available to prevent exploitation. Restricting access to this component can help minimize the risk of arbitrary code execution. At the moment, there is no information about a newer version that contains a fix for this vulnerability.