PT-2020-13785 · Apache · Apache Kylin
Publicado
2020-07-14
·
Atualizado
2020-07-27
·
CVE-2020-13926
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.0 a 3.0 do Apache Kylin
Descrição
A vulnerabilidade permite ataques de injeção de SQL devido à concatenação e execução de SQL do Hive na CLI do Hive ou no Beeline ao criar um novo segmento. Algumas partes do HQL provêm de configurações do sistema, que podem ser sobrescritas por determinadas APIs REST, tornando possível o ataque de injeção de SQL.
Recomendações
Para as versões 2.0 a 3.0 do Apache Kylin, atualize para a versão 3.1.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API REST que pode sobrescrever as configurações do sistema para minimizar o risco de exploração.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Kylin