kylin 命令执行(CVE-2020-13925)
| ID: | 16712 |
|---|---|
| 标题: | kylin 命令执行(CVE-2020-13925) |
| 描述: | kylin 命令执行(CVE-2020-13925) vulfocus/kylin-cve_2020_13925:latest Apache Kylin是美国阿帕奇(Apache)基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。 漏洞在于其中两个接口没有对输入参数做安全检查,并且在后续使用过程中拼接到了一个字符串中作为系统命令执行。黑客可以通过构造恶意参数值调用该接口,实现远程执行任意系统命令,获得运行 Apache Kylin 系统的操作系统账号权限。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | None |
| writeup: | 登录 https://vulfocus.cn 搜索kylin 命令执行(CVE-2020-13925) |