关联漏洞
标题:Apache Kylin 安全漏洞 (CVE-2020-13937)Description:Apache Kylin是美国阿帕奇(Apache)软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。 Apache Kylin 存在安全漏洞,该漏洞源于拥有一个静态的api,无需任何身份验证即可公开Kylin的配置信息。以下产品及版本受到影响:2.0.0, 2.1.0, 2.2.0, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1,
Description
Apache Kylin API Unauthorized Access
介绍
## Description
Apache Kylin 2.0.0, 2.1.0, 2.2.0, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 3.0.0-alpha, 3.0.0-alpha2, 3.0.0-beta, 3.0.0, 3.0.1, 3.0.2, 3.1.0, 4.0.0-alpha has one restful api which exposed Kylin's configuration information without any authentication, so it is dangerous because some confidential information entries will be disclosed to everyone.
## How to Exploit
```
http://xx.com/kylin/api/admin/config
```
## Reference
https://nvd.nist.gov/vuln/detail/CVE-2020-13937
文件快照
[4.0K] /data/pocs/1b6151eb78026a8135f0672b5cd8d0317d82a15e
├── [4.0K] img
│ └── [277K] result.png
└── [ 598] README.md
1 directory, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。