Apache Kylin 2.3.x < 2.3.3/2.4.x < 2.4.2/2.5.x < 2.5.3/2.6.x < 2.6.6/3.x < 3.0.2 命令插入 (CVE-2020-1956)
high Nessus Plugin ID 186352
語系:
概要
遠端主機上執行的 Web 應用程式受到一個命令注入弱點影響。說明
遠端主機上執行的 Apache Kylin 個體為 2.3.3 之前的 2.3.x、2.4.2 之前的 2.4.x、2.5.3 之前的 2.5.x、2.6.6 之前的 2.6.x 或 3.0.2 之前的 3.x。因此,它會受到一個命令插入弱點的影響,這是因為某些 restful API 將 OS 命令與使用者輸入字串串連所致。對任何專案都有管理或系統管理員管理權限、經驗證遠端攻擊者可在 Cube 移轉期間,透過 Kylin Web 介面插入任意系統命令。請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
請升級至 Apache Kylin 2.6.6、3.0.2 版或更新版本,或是將 kylin.tool.auto-migrate-cube.enabled 設定為 false。另請參閱
http://www.nessus.org/u?3b0bbbae
Plugin 詳細資訊
嚴重性: High
ID: 186352
檔案名稱: apache_kylin_CVE-2020-1956.nasl
版本: 1.1
類型: remote
系列: CGI abuses
已發布: 2023/11/28
已更新: 2023/11/28
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 9
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2020-1956
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 8.2
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: cpe:/a:apache:kylin
必要的 KB 項目: installed_sw/Apache Kylin, Settings/ParanoidReport
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2020/5/20
弱點發布日期: 2020/5/20
CISA 已知遭惡意利用弱點到期日: 2022/4/15
參考資訊
CVE: CVE-2020-1956