近日，我司监测到Apache发布安全公告，修复了一个存在于Kylin中的安全漏洞，该漏洞存在于Kylin的多维数据集设计器函数中，通过覆盖配置中的系统参数来覆盖掉菜单配置触发漏洞。通过闭合“--conf=”参数值两边的单引号，将任意系统命令注入到命令行参数中来实现RCE。

Apache Kylin是美国阿帕奇（Apache）软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。

影响版本:

• Apache Kylin < 4.0.2

安全版本:

• Apache Kylin = 4.0.2

修复建议：

官方已经针对漏洞发布了软件更新，下载地址如下：

• https://github.com/apache/kylin/releases/tag/kylin-4.0.2