Apache Kylin kylin.properties 信息泄漏 (CVE-2023-29055)

漏洞类型 未授权敏感信息泄露 发现时间 2024-01-29 漏洞等级 低危
MPS编号 MPS-2023-9183 CVE编号 CVE-2023-29055 漏洞影响广度

漏洞危害

OSCS 描述
Apache Kylin是一个开源的分布式分析引擎。
在受影响版本中,服务器配置界面会显示配置文件 kylin.properties 的内容,文件中 kylin.metadata.url 节点可能泄漏数据库地址以及凭证(如:kylin.metadata.url=zjz@jdbc,driverClassName=com.mysql.jdbc.Driver,url=jdbc:mysql://10.1.3.16:3306/kylin,username=root,password=,maxActive=20,maxIdle=20,test=)。
参考链接:https://www.oscs1024.com/hd/MPS-2023-9183

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.kylin:kylin-core-common [2.0.0, 4.0.4) 升级 将组件 org.apache.kylin:kylin-core-common 升级至 4.0.4 及以上版本
org.apache.kylin:kylin-core-common [2.0.0, 4.0.4) 升级 将 org.apache.kylin:kylin-core-common 升级至 4.0.4 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-9183

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-9183

https://nvd.nist.gov/vuln/detail/CVE-2023-29055

https://github.com/apache/kylin/commit/c857eedfd71110fa56565ec441f5fd3e95efbcb8

(0)
上一篇 2024年1月27日 下午2:00
下一篇 2024年1月31日 下午10:00

相关推荐

  • LangChain 远程代码执行漏洞 (CVE-2024-28088)

    漏洞类型 相对路径遍历 发现时间 2024-03-04 漏洞等级 中危 MPS编号 MPS-o9uw-a2dr CVE编号 CVE-2024-28088 漏洞影响广度 小 漏洞危害 OSCS 描述 LangChain是一个旨在帮助开发人员使用语言模型构建端到端的应用程序的框架,支持配置不同的链调用。langchain-experimental是一个用于研究和…

    2024年3月6日
    0
  • GitLab CE/EE 公共组的名称或路径可被更改 ( CVE-2023-3484)

    漏洞类型 访问控制不当 发现时间 2023/7/6 漏洞等级 高危 MPS编号 MPS-93os-eldn CVE编号 CVE-2023-3484 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是一款基于Git的代码托管、版本控制、协作开发平台。在 GitLab CE/EE 12.8 至 15.11.11 版本、16.0 至 16.0.7 版本以…

    2023年9月1日
    0
  • Apache Solr Operator 身份验证凭据泄漏漏洞 (CVE-2024-31391)

    漏洞类型 日志敏感信息泄露 发现时间 2024-04-12 漏洞等级 中危 MPS编号 MPS-xe3h-i1nf CVE编号 CVE-2024-31391 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Solr 是一款开源的搜索引擎。 当Solr Operator配置为启用基本身份验证(.solrOptions.security.authen…

    漏洞 2024年4月15日
    0
  • Node.js HTTP/2 CONTINUATION 拒绝服务漏洞 (CVE-2024-27983)

    漏洞类型 可达断言 发现时间 2024-04-04 漏洞等级 高危 MPS编号 MPS-i9bf-a843 CVE编号 CVE-2024-27983 漏洞影响广度 一般 漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境。CONTINUATION泛洪攻击被发现存在于多个HTTP/2协议实现中。 在受影响版本中,由于N…

    2024年4月6日
    0
  • OGC WPS 服务端请求伪造 (CVE-2023-43795)

    漏洞类型 SSRF 发现时间 2023-10-25 漏洞等级 高危 MPS编号 MPS-fie8-1z7r CVE编号 CVE-2023-43795 漏洞影响广度 一般 漏洞危害 OSCS 描述 OGC WPS 是一个允许通过网络请求执行各种地理信息任务的地理信息处理标准。 OGC WPS规范允许对外部URL进行引用,导致攻击者能构造恶意请求,引用恶意的外部…

    2023年10月25日
    0