安全测试
安全运营
安全应急
安全咨询
特色服务
安全测试
斗象各类安全测试服务通过利用白帽和自有安全服务人员,从多种视角使用多种黑白灰盒测试技术手段,对企业传统和物联网软硬件以及内部网络等进行深入评估和分析,帮助企业更好地理解其安全现状,优化安全策略,修补安全漏洞、提升整体安全防御能力。
可信安全众测
红队测试服务
Web应用安全测试
移动App安全测试
小程序/公众号安全测试
源代码安全审计
内网渗透与评估
固件安全分析
IoT安全测试
车联网安全测试与评估
客户成功案例
产品解决方案
服务解决方案
申请试用
返回
详细信息
漏洞信息
影响产品
解决方案
漏洞描述
在Apache Kylin版本2.0.0到4.0.3中,存在一个服务器配置网页界面,会显示'kylin.properties'文件的内容,其中可能包含服务器端凭证。当Kylin服务通过HTTP(或其他明文协议)运行时,网络嗅探器可能劫持HTTP负载,从而获取kylin.properties文件内容及其中的潜在凭证信息。为规避此风险,建议用户采取以下措施:* 始终启用HTTPS以加密网络传输内容。* 避免在kylin.properties文件中存储凭证,或至少不以明文形式存放。* 使用网络防火墙保护服务器端,防止外部攻击者访问。* 升级至Apache Kylin 4.0.4版本,该版本会对传送到服务器配置网页界面的敏感内容进行过滤。
漏洞危害
由于权限管理不当可访问 kylin.properties 的内容以及可能包含的服务器凭证,造成敏感信息泄露。
参考链接
CVE-2023-29055:https://nvd.nist.gov/vuln/detail/CVE-2023-29055
TVPR 关键指标
7.6
相关情报信息
- Apache Kylin 命令注入漏洞(CVE-2022-24697)
2022-10-12 09:44:50 - Apache Kylin任意文件或目录访问漏洞(CVE-2025-61734)2025-10-02 04:00:19
- (CVE-2020-1956) Apache Kylin RESTful API 命令注入漏洞2020-05-22 00:00:00
- Apache Kylin服务器端请求伪造漏洞(CVE-2025-61735)2025-10-02 04:00:21
- Apache Kylin通过请求其它路径导致权限绕过漏洞(CVE-2025-61733)2025-10-02 04:00:17
- Apache Kylin 后台命令执行漏洞 (CVE-2020-1956)2020-05-23 00:00:00
- (CVE-2024-23590) Apache Kylin Session Fixation 会话固定漏洞2024-11-04 00:00:00
- (CVE-2023-29055) Apache Kylin 信息泄露漏洞2024-01-29 00:00:00
- Apache Kylin操作系统命令注入漏洞2022-01-06 00:00:00
- (CVE-2025-30067)Apache Kylin代码注入漏洞2025-03-27 23:16:02
- (CVE-2024-48944)Apache Kylin SSRF漏洞2025-03-27 23:15:53
- Apache Kylin命令注入漏洞(CVE-2022-44621)2022-12-30 11:15:00
- Apache Kylin命令注入漏洞(CVE-2022-43396)2022-12-30 11:15:00
- apache kylin 不充分的凭证保护机制2022-01-06 00:00:00
- Apache Kylin 输入验证错误漏洞2022-01-06 00:00:00
- apache kylin 服务端请求伪造(ssrf)2022-01-06 00:00:00
- apache kylin 将资源暴露给错误范围2022-01-06 00:00:00
- Apache kylin 加密问题漏洞2022-01-06 00:00:00
- Apache Kylin < 3.1.0 操作系统命令注入漏洞2021-12-10 18:01:55
- Apache Kylin API 未授权访问漏洞2020-10-20 00:00:00
- Apache Kylin SQL注入漏洞2020-07-15 00:00:00
- apache kylin sql命令中使用的特殊元素转义处理不恰当(sql注入)2020-02-25 00:00:00
时间轴
- 2024-01-30 11:30:36斗象应急响应团队对外发布安全通告
400-156-9866
7 x 24 小时电话咨询
扫一扫订阅