遠端主機上執行的 Apache Kylin 個體為 2.3.3 之前的 2.3.x、2.4.2 之前的 2.4.x、2.5.3 之前的 2.5.x、2.6.6 之前的 2.6.x 或 3.0.2 之前的 3.x。因此，它會受到一個命令插入弱點的影響，這是因為某些 restful API 將 OS 命令與使用者輸入字串串連所致。對任何專案都有管理或系統管理員管理權限、經驗證遠端攻擊者可在 Cube 移轉期間，透過 Kylin Web 介面插入任意系統命令。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Apache Kylin 2.3.x < 2.3.3/2.4.x < 2.4.2/2.5.x < 2.5.3/2.6.x < 2.6.6/3.x < 3.0.2 命令插入 (CVE-2020-1956)

high Nessus Plugin ID 186352

找不到依附元件