一、概要

近日，華為云關注到業(yè)界有安全研究人員披露Apache Kylin在多個版本中存在另一處命令注入漏洞（CVE-2020-13925）。該漏洞類似于CVE-2020-1956，Kylin的restful API可以將操作系統(tǒng)命令與用戶輸入的字符串連接起來，由于對用戶輸入的內(nèi)容缺少必要的驗證，導致攻擊者可以遠程執(zhí)行任何系統(tǒng)命令而無需任何驗證。

華為云提醒使用Apache Kylin的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://sematext.com/opensee/m/Kylin/8WImheMu8TQPj232?subj=+SECURITY+CVE+2020+13925+Apache+Kylin+command+injection+vulnerability

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Apache Kylin 2.3.0 ~ 2.3.2

Apache Kylin 2.4.0 ~ 2.4.1

Apache Kylin 2.5.0 ~ 2.5.2

Apache Kylin 2.6.0 ~ 2.6.6

Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1, Kylin 3.0.2

安全版本：

Apache Kylin 3.1.0 

四、漏洞處置

目前，官方已發(fā)布新版本修復了該漏洞，請受影響的用戶升級到安全版本：

下載地址：https://kylin.apache.org/download/

注：修復漏洞前請將資料備份，并進行充分測試。