Apache Kylin kylin.properties 信息泄漏 (CVE-2023-29055)

漏洞类型 未授权敏感信息泄露 发现时间 2024-01-29 漏洞等级 低危
MPS编号 MPS-2023-9183 CVE编号 CVE-2023-29055 漏洞影响广度

漏洞危害

OSCS 描述
Apache Kylin是一个开源的分布式分析引擎。
在受影响版本中,服务器配置界面会显示配置文件 kylin.properties 的内容,文件中 kylin.metadata.url 节点可能泄漏数据库地址以及凭证(如:kylin.metadata.url=zjz@jdbc,driverClassName=com.mysql.jdbc.Driver,url=jdbc:mysql://10.1.3.16:3306/kylin,username=root,password=,maxActive=20,maxIdle=20,test=)。
参考链接:https://www.oscs1024.com/hd/MPS-2023-9183

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.kylin:kylin-core-common [2.0.0, 4.0.4) 升级 将组件 org.apache.kylin:kylin-core-common 升级至 4.0.4 及以上版本
org.apache.kylin:kylin-core-common [2.0.0, 4.0.4) 升级 将 org.apache.kylin:kylin-core-common 升级至 4.0.4 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-9183

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-9183

https://nvd.nist.gov/vuln/detail/CVE-2023-29055

https://github.com/apache/kylin/commit/c857eedfd71110fa56565ec441f5fd3e95efbcb8

(0)
上一篇 2024年1月27日 下午2:00
下一篇 2024年1月31日 下午10:00

相关推荐

  • Google Chrome<120.0.6099.199 存在释放后使用漏洞 (CVE-2024-0222)

    漏洞类型 UAF 发现时间 2024-01-04 漏洞等级 高危 MPS编号 MPS-ler0-8tok CVE编号 CVE-2024-0222 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES 和 V…

    2024年1月5日
    0
  • Apache InLong < 1.12.0 JDBC反序列化漏洞 (CVE-2024-26579)

    漏洞类型 反序列化 发现时间 2024-05-09 漏洞等级 高危 MPS编号 MPS-7rbq-ze46 CVE编号 CVE-2024-26579 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,用于业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于 MySQLSensitiveUrlUtils…

    漏洞 2024年5月10日
    0
  • curl 存在 fopen 竞争条件漏洞 (CVE-2023-32001) [有POC]

    漏洞类型 竞争条件 发现时间 2023/7/27 漏洞等级 中危 MPS编号 MPS-jgni-u9se CVE编号 CVE-2023-32001 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是一个跨平台的用于数据传输的开源工具。curl 8.2.0之前版本中由于 fopen#Curl_fopen 方法中的 stat(filename, &…

    2023年8月11日
    0
  • Microsoft Windows Themes 远程代码执行漏洞(POC公开) (CVE-2023-38146)

    漏洞类型 命令注入 发现时间 2023-09-15 漏洞等级 高危 MPS编号 MPS-ntyd-m53q CVE编号 CVE-2023-38146 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows操作系统上,.theme文件是一种用于定义桌面主题和外观设置的文件。 Windows11 受影响版本中存在远程代码执行漏洞。当.theme文件中引用了….

    2023年9月16日
    0
  • GitLab EE 安全扫描策略绕过导致远程代码执行 (CVE-2023-5009)

    漏洞类型 访问控制不当 发现时间 2023-09-20 漏洞等级 严重 MPS编号 MPS-zft4-sq8x CVE编号 CVE-2023-5009 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab EE 是 GitLab 的企业版本,用于管理软件开发项目、代码版本控制和协作等,Pipeline Jobs 指的是 CI/CD 中的任务。 由于对CV…

    2023年9月21日
    0