Apache Kylin大数据平台曝认证绕过与SSRF漏洞
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
Apache软件基金会发布公告,开源OLAP引擎Apache Kylin在4.0.0至5.0.2版本中存在三处安全漏洞,已在5.0.3版本中修复。高危漏洞CVE-2025-61733允许攻击者绕过认证,低危漏洞CVE-2025-61734和CVE-2025-61735涉及文件读取和服务端请求伪造。建议用户升级至5.0.3版本。
🎯
关键要点
- Apache软件基金会发布公告,开源OLAP引擎Apache Kylin存在三处安全漏洞。
- 受影响版本为4.0.0至5.0.2,已在5.0.3版本中修复。
- 高危漏洞CVE-2025-61733允许攻击者绕过认证,可能导致敏感数据泄露。
- 低危漏洞CVE-2025-61734涉及文件读取权限缺陷,可能导致数据泄露。
- 低危漏洞CVE-2025-61735涉及服务端请求伪造,可能导致敏感元数据泄露。
- 建议用户立即升级至5.0.3版本,若无法升级,应限制网络访问权限并启用强认证措施。
❓
延伸问答
Apache Kylin存在哪些安全漏洞?
Apache Kylin存在三处安全漏洞,分别是CVE-2025-61733、CVE-2025-61734和CVE-2025-61735。
CVE-2025-61733漏洞的影响是什么?
CVE-2025-61733允许攻击者绕过认证,可能导致未经授权访问敏感数据或管理功能。
如何修复Apache Kylin的安全漏洞?
建议用户立即升级至5.0.3版本,若无法升级,应限制网络访问权限并启用强认证措施。
CVE-2025-61734和CVE-2025-61735的风险等级如何?
CVE-2025-61734和CVE-2025-61735被归类为低危漏洞。
CVE-2025-61734漏洞可能导致什么后果?
CVE-2025-61734可能导致敏感文件泄露或为后续攻击收集情报。
服务端请求伪造(CVE-2025-61735)是什么?
CVE-2025-61735涉及服务端请求伪造,攻击者可诱使服务器向内部或外部系统发起请求,可能导致敏感元数据泄露。
➡️
