Описание
Уязвимость сервиса для распределённого выполнения SQL-запросов Apache Kyuubi связана с обходом пути. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности и получить несанкционированный доступ к защищаемой информации
Вендор
Apache Software Foundation
Наименование ПО
Kyuubi
Версия ПО
от 1.6.0 до 1.10.2 включительно (Kyuubi)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,7)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,3)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://lists.apache.org/thread/xp460bwbyzdhho34ljd4nchyt2fmhodl
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 12%
0.00041
Низкий
8.3 High
CVSS3
8.7 High
CVSS2
Связанные уязвимости
CVSS3: 8.8
nvd
около 1 месяца назад
Any client who can access to Apache Kyuubi Server via Kyuubi frontend protocols can bypass server-side config kyuubi.session.local.dir.allow.list and use local files which are not listed in the config. This issue affects Apache Kyuubi: from 1.6.0 through 1.10.2. Users are recommended to upgrade to version 1.10.3 or upper, which fixes the issue.
EPSS
Процентиль: 12%
0.00041
Низкий
8.3 High
CVSS3
8.7 High
CVSS2