BDU:2025-03522

Опубликовано: 27 мар. 2025

Источник: fstec

CVSS3: 7.2

CVSS2: 9

EPSS Низкий

Описание

Уязвимость конфигурации драйвера JDBC Driver платформы обработки данных Kylin связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Kylin

Версия ПО

от 4.0.0 до 5.0.1 включительно (Kylin)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/6j19pt8yoqfphf1lprtrzoqkvz1gwbnc

https://github.com/apache/kylin/releases/tag/kylin-5.0.2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-30067
CVE

EPSS

Процентиль: 43%

0.00203

Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-30067

CVSS3: 7.2

nvd

5 месяцев назад

Improper Control of Generation of Code ('Code Injection') vulnerability in Apache Kylin. If an attacker gets access to Kylin's system or project admin permission, the JDBC connection configuration maybe altered to execute arbitrary code from the remote. You are fine as long as the Kylin's system and project admin access is well protected. This issue affects Apache Kylin: from 4.0.0 through 5.0.1. Users are recommended to upgrade to version 5.0.2 or above, which fixes the issue.

GHSA-29m8-wh9p-5wc4

github