阿里云漏洞库

该漏洞EXP已公开传播，漏洞利用成本极低，建议您立即关注并修复。

漏洞描述

Apache Kylin™是一个开源的、分布式的分析型数据仓库。近日Apache Kylin官方修复 CVE-2020-13937 API未授权访问漏洞。攻击者可构造恶意请求，访问API地址，可以获取Apache Kylin的相关配置信息，从而导致身份凭证等信息泄漏。阿里云应急响应中心提醒 Apache Kylin 用户尽快采取安全措施阻止漏洞攻击。

解决建议

升级至安全版本。

参考链接
https://lists.apache.org/thread.html/rc592e0dcee5a2615f1d9522af30ef1822c1f863...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	kylin	2.0.0	-
	运行在以下环境
	应用	apache	kylin	2.1.0	-
	运行在以下环境
	应用	apache	kylin	2.2.0	-
	运行在以下环境
	应用	apache	kylin	2.3.0	-
	运行在以下环境
	应用	apache	kylin	2.3.1	-
	运行在以下环境
	应用	apache	kylin	2.3.2	-
	运行在以下环境
	应用	apache	kylin	2.4.0	-
	运行在以下环境
	应用	apache	kylin	2.4.1	-
	运行在以下环境
	应用	apache	kylin	2.5.0	-
	运行在以下环境
	应用	apache	kylin	2.5.1	-
	运行在以下环境
	应用	apache	kylin	2.5.2	-
	运行在以下环境
	应用	apache	kylin	2.6.0	-
	运行在以下环境
	应用	apache	kylin	2.6.1	-
	运行在以下环境
	应用	apache	kylin	2.6.2	-
	运行在以下环境
	应用	apache	kylin	2.6.3	-
	运行在以下环境
	应用	apache	kylin	2.6.4	-
	运行在以下环境
	应用	apache	kylin	2.6.5	-
	运行在以下环境
	应用	apache	kylin	2.6.6	-
	运行在以下环境
	应用	apache	kylin	3.0.0	-
	运行在以下环境
	应用	apache	kylin	3.0.1	-
	运行在以下环境
	应用	apache	kylin	3.0.2	-
	运行在以下环境
	应用	apache	kylin	3.1.0	-
	运行在以下环境
	应用	apache	kylin	4.0.0	-

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

有限影响
EXP成熟度

EXP 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-922	敏感信息的不安全存储

中危 Apache Kylin API 未授权访问漏洞

漏洞描述

解决建议

参考链接

受影响软件情况