一、漏洞概要 漏洞名称 Apache DolphinScheduler高危漏洞CVE-2020-11974、CVE-2020-13922 威胁等级 高危 影响范围 Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922): Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1 Apache DolphinScheduler远程执行代码漏洞(CVE-2020-11974): Apache DolphinScheduler = 1.2.0、1.2.1...
  作者:京东安全clanceyz 概要: 6月,京东安全的蓝军团队发现了一个 apache kylin 远程命令执行严重漏洞( CVE-2020-13925)。黑客可以利用这个漏洞,登录任何管理员账号和密码默认未修改的账号,获得管理员权限。由于Apache Kylin被广泛应用于企业的大数据分析平台,因此该漏洞将对企业核心数据具有较大的危害,存在数据泄露风险,建议用户尽快升级软件至安全版本。   关于 Apache Kylin Apache Kylin...
0x01 概要 Apache Skywalking最近暴露了一个SQL注入漏洞:CVE-2020-9483。 Apache SkyWalking是一个APM管理软件(应用性能监控),用于跟跑分析线上系统的性能,支持TCP、HTTP协议。这次出问题的Skywalking的软件版本号是6.0-6.6、7.0,升级官网版本8.0后,SQL注入漏洞问题被修复。 出问题的是Apache SkyWalking的Graph QL协议接口。GraphQL是Facebook开源的数据查询规范。一用于API的查询语言,是对REST API的一种封装描述。原本REST API的JSON协议下的接口,如果代码实现不注重安发规范也会存在安全隐患,Apache SkyWalking Graph QL这次就出现SQL注入安全问题。SQL注入发生在Skywalking使用H2/MySQL/TiDB这三种数据库做存储的场景条件下,特定版本软件中可复现这个安全漏洞。 ElasticSearch也支持SQL查询,是通过插件实现支持的,ES不属于关系型数据库,如果Skywalking用的存储方案用是ES,这个SQL注入的问题可能会弱化一些。...
Page 1 of 31 2 3