Apache Kylin SQL注入漏洞 - 山西鑫鼎宸科技股份有限公司

我的位置：

Apache Kylin SQL注入漏洞

CNNVD編號(hào)：CNNVD-202007-770
危害等級(jí)：未知
CVE編號(hào)：CVE-2020-13926
漏洞類型： SQL注入
威脅類型：遠(yuǎn)程
廠商：未知
漏洞來(lái)源：未知
發(fā)布時(shí)間：2020-07-14
更新時(shí)間：2020-12-11

漏洞簡(jiǎn)介

Apache Kylin是美國(guó)阿帕奇（Apache）軟件基金會(huì)的一款開(kāi)源的分布式分析型數(shù)據(jù)倉(cāng)庫(kù)。該產(chǎn)品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析（OLAP）等功能。

Apache Kylin中存在SQL注入漏洞。該漏洞源于基于數(shù)據(jù)庫(kù)的應(yīng)用缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證。攻擊者可利用該漏洞執(zhí)行非法SQL命令。以下產(chǎn)品及版本受到影響：Apache Kylin 2.0.0版本，2.1.0版本，2.2.0版本，2.3.0版本，2.3.1版本，2.3.2版本，2.4.0版本，2.4.1版本，2.5.0版本，2.5.1版本，2.5.2版本，2.6.0 ，2.6.1版本，2.6.2版本，2.6.3版本，2.6.4版本，2.6.5版本，2.6.6版本，3.0.0-alpha版本，3.0.0-alpha2版本，3.0.0-beta版本，3.0.0版本，3.0.1版本，3.0.2版本。