一、概要

近日，华为云关注到业界有安全研究人员披露Apache Kylin在多个版本中存在另一处命令注入漏洞（CVE-2020-13925）。该漏洞类似于CVE-2020-1956，Kylin的restful API可以将操作系统命令与用户输入的字符串连接起来，由于对用户输入的内容缺少必要的验证，导致攻击者可以远程执行任何系统命令而无需任何验证。

华为云提醒使用Apache Kylin的用户及时安排自检并做好安全加固。

参考链接：

https://sematext.com/opensee/m/Kylin/8WImheMu8TQPj232?subj=+SECURITY+CVE+2020+13925+Apache+Kylin+command+injection+vulnerability

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Kylin 2.3.0 ~ 2.3.2

Apache Kylin 2.4.0 ~ 2.4.1

Apache Kylin 2.5.0 ~ 2.5.2

Apache Kylin 2.6.0 ~ 2.6.6

Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1, Kylin 3.0.2

安全版本：

Apache Kylin 3.1.0 

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

下载地址：https://kylin.apache.org/download/

注：修复漏洞前请将资料备份，并进行充分测试。