Apache Kylin kylin.properties 信息泄漏 (CVE-2023-29055)

漏洞类型 未授权敏感信息泄露 发现时间 2024-01-29 漏洞等级 低危
MPS编号 MPS-2023-9183 CVE编号 CVE-2023-29055 漏洞影响广度

漏洞危害

OSCS 描述
Apache Kylin是一个开源的分布式分析引擎。
在受影响版本中,服务器配置界面会显示配置文件 kylin.properties 的内容,文件中 kylin.metadata.url 节点可能泄漏数据库地址以及凭证(如:kylin.metadata.url=zjz@jdbc,driverClassName=com.mysql.jdbc.Driver,url=jdbc:mysql://10.1.3.16:3306/kylin,username=root,password=,maxActive=20,maxIdle=20,test=)。
参考链接:https://www.oscs1024.com/hd/MPS-2023-9183

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.kylin:kylin-core-common [2.0.0, 4.0.4) 升级 将组件 org.apache.kylin:kylin-core-common 升级至 4.0.4 及以上版本
org.apache.kylin:kylin-core-common [2.0.0, 4.0.4) 升级 将 org.apache.kylin:kylin-core-common 升级至 4.0.4 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-9183

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-9183

https://nvd.nist.gov/vuln/detail/CVE-2023-29055

https://github.com/apache/kylin/commit/c857eedfd71110fa56565ec441f5fd3e95efbcb8

(0)
上一篇 2024年1月27日 下午2:00
下一篇 2024年1月31日 下午10:00

相关推荐

  • Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

    漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危 MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJS…

    2023年12月28日
    0
  • Apache Shiro FORM 重定向漏洞 (CVE-2023-46750)

    漏洞类型 跨站重定向 发现时间 2023-11-12 漏洞等级 低危 MPS编号 MPS-14×5-9n6b CVE编号 CVE-2023-46750 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Shiro 是一个开源的Java安全框架,用于简化应用程序的身份验证、授权、加密和会话管理等安全相关的操作。 在受影响版本中,由于在FORM…

    2023年11月14日
    0
  • Jumpserver<3.10.7 Ansible Playbook远程代码执行漏洞 (CVE-2024-29201)

    漏洞类型 暴露危险的方法或函数 发现时间 2024-03-29 漏洞等级 高危 MPS编号 MPS-tbky-zx14 CVE编号 CVE-2024-29201 漏洞影响广度 一般 漏洞危害 OSCS 描述 JumpServer 是开源的堡垒机和运维安全审计系统。 JumpServer 3.0版本开始引入批量下发作业功能,在其3.10.7之前版本中,攻击者可…

    2024年3月30日
    0
  • Atlassian Confluence 权限提升漏洞 (CVE-2023-22515)

    漏洞类型 输入验证不恰当 发现时间 2023-10-04 漏洞等级 严重 MPS编号 MPS-2023-0016 CVE编号 CVE-2023-22515 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Confluence Data Center 和 Confluence Ser…

    2023年10月9日
    0
  • IP-guard WebServer < 4.82.0609.0任意文件读取漏洞【PoC公开】 (MPS-5ag1-ycm0)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-04-16 漏洞等级 严重 MPS编号 MPS-5ag1-ycm0 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 IP-guard是溢信科技推出的终端数据安全防护软件。 IP-guard WebServer < 4.82.0609.0存在任意文件读取漏洞,由于服务器端的脚本(vie...

    漏洞 2024年4月16日
    0