CVE-2021-27738

Versões do Apache Kylin anteriores à 3.1.2

O problema está relacionado a verificações de segurança insuficientes no componente StreamingCoordinatorController.java, que lida com os pontos de extremidade da API REST /kylin/api/streaming coordinator/*. Isso permite que um usuário não autenticado emita solicitações arbitrárias, como atribuir ou desatribuir cubos de streaming e criar, modificar ou excluir conjuntos de réplicas. Para pontos de extremidade que aceitam detalhes de nó no corpo da mensagem HTTP, é possível realizar uma falsificação de solicitação do lado do servidor (SSRF) não autenticada.

Para versões anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API /kylin/api/streaming coordinator/* para impedir solicitações não autenticadas.

Evite usar o componente StreamingCoordinatorController.java até que o problema seja resolvido.

Restrinja o acesso a pontos de extremidade que aceitem detalhes do nó no corpo da mensagem HTTP para minimizar o risco de exploração de SSRF.