发布日期：2022-01-06
更新日期：2022-05-13

受影响系统：

Apache Apache Kylin 4.0.0

描述：

---

CVE(CAN) ID: CVE-2021-45456

Apache Kylin是美国阿帕奇（Apache）基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。
Apache kylin 4.0.0版本存在命令注入漏洞，该漏洞源于程序检查的内容与DiagnosisService中shell命令参数的内容不匹配。攻击者可利用该漏洞使非法项目名称通过检查，并执行后续步骤。

<*链接：https://lists.apache.org/thread/70fkf9w1swt2cqdcz13rwfjvblw1fcpf
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2021-45456）以及相应补丁:
CVE-2021-45456：CVE-2021-45456: Apache Kylin: Command injection
链接：https://lists.apache.org/thread/70fkf9w1swt2cqdcz13rwfjvblw1fcpf

浏览次数：753
严重程度：0（网友投票）