Описание
In the fix for CVE-2022-24697, a blacklist is used to filter user input commands. But there is a risk of being bypassed. The user can control the command by controlling the kylin.engine.spark-cmd parameter of conf.
Ссылки
- Mailing ListPatchVendor Advisory
- Mailing ListPatchVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.0.3 (исключая)
cpe:2.3:a:apache:kylin:*:*:*:*:*:*:*:*
EPSS
Процентиль: 59%
0.00387
Низкий
8.8 High
CVSS3
Дефекты
NVD-CWE-Other
CWE-184
Связанные уязвимости
CVSS3: 8.8
github
около 3 лет назад
Apache Kylin vulnerable to Command injection by Useless configuration
EPSS
Процентиль: 59%
0.00387
Низкий
8.8 High
CVSS3
Дефекты
NVD-CWE-Other
CWE-184