Wei Lin Ngo

**Nome do software vulnerável e versões afetadas** Versões do Apache Kylin anteriores à 3.1.2 **Descrição** O problema está relacionado a verificações de segurança insuficientes no componente `StreamingCoordinatorController.java`, que lida com os pontos de extremidade da API REST `/kylin/api/streaming coordinator/*`. Isso permite que um usuário não autenticado emita solicitações arbitrárias, como atribuir ou desatribuir cubos de streaming e criar, modificar ou excluir conjuntos de réplicas. Para pontos de extremidade que aceitam detalhes de nó no corpo da mensagem HTTP, é possível realizar uma falsificação de solicitação do lado do servidor (SSRF) não autenticada. **Recomendações** Para versões anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API `/kylin/api/streaming coordinator/*` para impedir solicitações não autenticadas. Evite usar o componente `StreamingCoordinatorController.java` até que o problema seja resolvido. Restrinja o acesso a pontos de extremidade que aceitem detalhes do nó no corpo da mensagem HTTP para minimizar o risco de exploração de SSRF.