Vulnerabilidad en Apache Kylin (CVE-2023-29055)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-522 Credenciales insuficientemente protegidas

Fecha de publicación:

29/01/2024

Última modificación:

02/02/2024

Descripción

En Apache Kylin versión 2.0.0 a 4.0.3, hay una interfaz web de configuración de servidor que muestra el contenido del archivo &#39;kylin.properties&#39;, que puede contener credenciales del lado del servidor. Cuando el servicio kylin se ejecuta a través de HTTP (u otro protocolo de texto plano), es posible que los rastreadores de red secuestren el payload HTTP y obtengan acceso al contenido de kylin.properties y potencialmente a las credenciales que lo contienen. Para evitar esta amenaza, se recomienda a los usuarios&#xa0;* activar siempre HTTPS para que el payload de la red esté cifrado. * Evite poner credenciales en kylin.properties, o al menos no en texto plano. * Utilice firewalls de red para proteger el lado del servidor de modo que no sea accesible para atacantes externos. * Actualice a la versión Apache Kylin 4.0.4, que filtra el contenido confidencial que va a la interfaz web de Server Config.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno