リモートホストで実行されている Apache Kylin のインスタンスは、2.3.3 より前の 2.3.x、2.4.2 より前の 2.4.x、2.5.3 より前の 2.5.x、2.6.6 より前の 2.6.x、3.0.2 より前の 3.x です。したがって、一部の restful API が OS コマンドとユーザー入力文字列を連結することにより、コマンドインジェクションの脆弱性の影響を受けます。任意のプロジェクトに対する MANAGEMENT または ADMIN 権限を持つ認証されたリモート攻撃者が、Kylin Web インターフェースを介して、Cube 移行中に任意のシステムコマンドを注入する可能性があります。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Apache Kylin 2.3.x < 2.3.3 / 2.4.x < 2.4.2 / 2.5.x < 2.5.3 / 2.6.x < 2.6.6 / 3.x < 3.0.2 のコマンドインジェクション (CVE-2020-1956)

high Nessus プラグイン ID 186352

依存が見つかりません