Apache Kylin w wersjach od 2.0.0 do 4.x jest podatny na atak Session Fixation (utrwalenie sesji), sklasyfikowany jako CWE-384. Podatność umożliwia atakującemu przejęcie sesji uwierzytelnionego użytkownika bez znajomości jego hasła, co może prowadzić do nieautoryzowanego dostępu do danych i funkcji systemu.
▸ Pokaż oryginał (EN)
Session Fixation vulnerability in Apache Kylin. This issue affects Apache Kylin: from 2.0.0 through 4.x. Users are recommended to upgrade to version 5.0.0 or above, which fixes the issue.
Atak Session Fixation polega na tym, że atakujący narzuca ofierze z góry znany mu identyfikator sesji przed jej uwierzytelnieniem. Aplikacja nie generuje nowego identyfikatora sesji po pomyślnym zalogowaniu użytkownika, w wyniku czego sesja uwierzytelniona pozostaje powiązana z identyfikatorem kontrolowanym przez atakującego. Po tym, jak ofiara zaloguje się przy użyciu narzuconego identyfikatora, atakujący może go użyć do uzyskania pełnego dostępu do jej konta.
Atakujący może przejąć sesję uwierzytelnionego użytkownika, uzyskując dostęp do jego danych oraz możliwość wykonywania operacji w jego imieniu, w tym odczyt i modyfikację danych analitycznych przechowywanych w Apache Kylin.
Należy zaktualizować Apache Kylin do wersji 5.0.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Apache Kylin w wersjach od 2.0.0 do 4.x włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Kylin
APPApache2.0.0 – 5.0.0 (bez)
Powiązane podatności
Diagnosis Controller miss parameter validation, so user may attacked by command injection via HTTP Request.
Kylin's cube designer function has a command injection vulnerability when overwriting system parameters in the...
Apache kylin checks the legitimacy of the project before executing some commands with the project name passed ...
Kylin can receive user input and load any class through Class.forName(...). This issue affects Apache Kylin 2 ...
Similar to CVE-2020-1956, Kylin has one more restful API which concatenates the API inputs into OS commands an...