PT-2022-26882 · Apache · Apache Kylin
Yasax1 Li
·
Publicado
2022-12-30
·
Atualizado
2023-08-08
·
CVE-2022-43396
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Apache Kylin (versões afetadas não especificadas)
Descrição
O problema decorre de uma correção que utiliza uma lista negra para filtrar comandos de entrada do usuário, mas essa abordagem corre o risco de ser contornada. Um invasor pode potencialmente controlar o comando manipulando o parâmetro
kylin.engine.spark-cmd do conf.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Command Injection
Incomplete List of Disallowed Inputs
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Kylin