发布日期：2022-01-06
更新日期：2022-03-10

受影响系统：

Apache Apache Kylin 2 <= 2.6.6
Apache Apache Kylin 3 <= 3.1.2
Apache Apache Kylin 4 <= 4.0.0

描述：

---

CVE(CAN) ID: CVE-2021-31522

Apache Kylin是美国阿帕奇（Apache）基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。
Apache Kylin 2的2.6.6及之前版本、Apache Kylin 3的3.1.2及之前版本和Apache Kylin 4的4.0.0及之前版本存在输入验证错误漏洞。攻击者可利用该漏洞通过Kylin接收用户输入并通过Class.forName(...)加载任何类。

<*链接：https://lists.apache.org/thread/hh5crx3yr701zd8wtpqo1mww2rlkvznw
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2021-31522）以及相应补丁:
CVE-2021-31522：CVE-2021-31522: Apache Kylin unsafe class loading
链接：https://lists.apache.org/thread/hh5crx3yr701zd8wtpqo1mww2rlkvznw

浏览次数：1658
严重程度：0（网友投票）