Apache Kyuubi是一个高性能的通用JDBC和ODBC服务,旨在为数据仓库、数据处理和机器学习工作负载提供高效的多租户服务。
【漏洞信息】
1、Apache Kyuubi存在目录遍历漏洞(CVE-2025-66518) | |||
漏洞类型 | 目录遍历 | 漏洞危害等级 | 高危 |
CVE编号 | CVE-2025-66518 | CNVD编号 | 未分配 |
POC情况 | 已发现 | EXP情况 | 未发现 |
在野利用情况 | 未发现 | 研究情况 | 已复现 |
影响版本 | |||
1.6.0 <= Apache Kyuubi < 1.10.3 | |||
危害描述 | Apache Kyuubi存在目录遍历漏洞(CVE-2025-66518),任何可以通过Kyuubi前端协议访问Apache Kyuubi Server的客户端,都可以绕过服务器端配置kyuubi.session.local.dir.allow.list,并使用未在该配置中列出的本地文件。 | ||
【修复方案】
官方已发布修复方案,受影响的用户建议更新至安全版本。
https://kyuubi.apache.org/releases.html
