一、 漏洞 CVE-2025-59355 基础信息
漏洞信息
# Apache Linkis 密码泄露漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Linkis: Password Exposure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability. When org.apache.linkis.metadata.util.HiveUtils.decode() fails to perform Base64 decoding, it records the complete input parameter string in the log via logger.error(str + "decode failed", e). If the input parameter contains sensitive information such as Hive Metastore keys, plaintext passwords will be left in the log files when decoding fails, resulting in information leakage. Affected Scope Component: Sensitive fields in hive-site.xml (e.g., javax.jdo.option.ConnectionPassword) or other fields encoded in Base64. Version: Apache Linkis 1.0.0 – 1.7.0 Trigger Conditions The value of the configuration item is an invalid Base64 string. Log files are readable by users other than hive-site.xml administrators. Severity: Low The probability of Base64 decoding failure is low. The leakage is only triggered when logs at the Error level are exposed. Remediation Apache Linkis 1.8.0 and later versions have replaced the log with desensitized content. logger.error("URL decode failed: {}", e.getMessage()); // 不再输出 str Users are recommended to upgrade to version 1.8.0, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
通过日志文件的信息暴露
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-59355 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-59355 的情报信息
标题: [PR] Add urlencode check for jdbc url in SecurityUtils.java and fix password leak in HiveUtils.java [linkis]-Apache Mail Archives -- 🔗来源链接
标签:patch
神龙速读:- **关键信息**: - **PR标题**: "Add urlencode check for jdbc url in SecurityUtils.java and fix password leak in HiveUtils.java" - **提交人**: Le1a - **提交日期**: 2025年9月18日, 星期四 20:08:15 - **修改内容**: - 在`SecurityUtils.java`中添加了对jdbc url的urlencode检查 - 在`HiveUtils.java`中修复了密码泄露问题 - **变更目的**: - 如果jdbc url包含"%",则执行URL解码 - 移除`HiveUtils.java`中捕获异常时抛出的敏感信息`str` - **变更检查列表**: - 阅读并遵循关于拉取请求的贡献指南 - 解释了这个PR的必要性以及它解决的问题 - 解释了这个PR所做的变更或添加的新特性 - 添加了与该变更相对应的测试 - 更新文档以反映这个变更 - 确认变更与之前版本兼容 - 编写单元测试以完全验证新行为 - **PR合并**: 由`losionone`在2025年9月22日, 星期一 16:57:31合并![[PR] Add urlencode check for jdbc url in SecurityUtils.java and fix password leak in HiveUtils.java [linkis]-Apache Mail Archives](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-49-46.457Z-754b70d85285523c378d.webp)
标题: CVE-2025-59355: Apache Linkis: Password Exposure-Apache Mail Archives -- 🔗来源链接
标签:vendor-advisory
神龙速读:## 关键信息 ### 漏洞概述 - **CVE ID**: CVE-2025-59355 - **受影响组件**: Apache Linkis - **漏洞类型**: 密码暴露 ### 严重性 - **等级**: 低 ### 影响版本 - **Apache Linkis**: 1.0.0 到 1.7.0 ### 描述 当 `org.apache.linkis.metadata.util.HiveUtils.decode()` 无法执行 Base64 解码时,它会通过 `logger.error()` 记录完整的输入参数字符串。如果输入参数包含敏感信息(如 Hive Metastore 密钥、明文密码),这些信息会在解码失败时泄露到日志文件中,造成信息泄露。 ### 影响范围 - **组件**: hive-site.xml 中的敏感字段(如 `javax.jdo.option.ConnectionPassword`)或其他使用 Base64 编码的字段。 - **版本**: Apache Linkis 1.0.0 到 1.7.0 ### 触发条件 - 配置项的值是无效的 Base64 字符串。 - 日志文件可被非 hive-site.xml 管理员的用户读取。 ### 修复措施 - **Apache Linkis 1.8.0 及后续版本** 已经替换了记录内容,不再记录敏感信息。 ```java logger.error("URL decode failed: {}", e.getMessage()); // 不再输出 str ``` - **建议用户升级至版本 1.8.0**,以修复此问题。 ### 参考链接 - [Linkis 官网](https://linkis.apache.org) - [CVE 记录](https://www.cve.org/CVERecord?id=CVE-2025-59355)
- https://nvd.nist.gov/vuln/detail/CVE-2025-59355
四、漏洞 CVE-2025-59355 的评论
暂无评论