Apache Kylin 中发现了 SQL 注入漏洞,危害等级标注为“严重”,编号 CVE-2020-1937。
根据描述,Kylin 中有一些 RESTful API 会将用户输入的字符串连接到 SQL 中,用户能够运行恶意数据库查询语句。
影响版本包括:
- Kylin 2.3.0 to 2.3.2
- Kylin 2.4.0 to 2.4.1
- Kylin 2.5.0 to 2.5.2
- Kylin 2.6.0 to 2.6.4
- Kylin 3.0.0-alpha
- Kylin 3.0.0-alpha2
- Kylin 3.0.0-beta
- Kylin 3.0.0
官方要求用户升级到 3.0.1 或 2.6.5,这两个版本也是刚刚发布,除了修复这个 SQL 注入漏洞,还有其它更新内容,详情可以查看:
https://www.oschina.net/news/113680/kylin-3-0-1-and-2-6-5-released
转自 https://www.oschina.net/news/113688/kylin-sqli