Apache Kylin 服务器端请求伪造 (SSRF) 通过 `/kylin/api/xxx/diag` 端点

攻击者利用此 SSRF 漏洞，可以通过 Kylin 服务器发起伪造请求，访问内部网络中的其他主机。如果目标主机上存在开放的“/kylin/api/xxx/diag” API 接口，攻击者可能能够获取敏感信息，例如系统配置、内部服务状态等。攻击者需要具备 Kylin 服务器的管理员权限才能执行此攻击。该漏洞的潜在影响包括内部网络信息泄露，以及可能被用于进一步攻击内部系统。虽然 CVSS 评分为低，但由于其潜在的泄露敏感信息，仍需重视。

Organizations running Apache Kylin versions 5.0.0 and prior, particularly those with internal services accessible from the Kylin server, are at risk. Shared hosting environments where multiple users share a Kylin instance are also vulnerable, as an attacker could potentially exploit the vulnerability through a compromised user account.

• java / server: Monitor Kylin server logs for unusual outbound requests, particularly those targeting internal hosts or the /kylin/api/xxx/diag endpoint. Use network monitoring tools to detect suspicious connections originating from the Kylin server.

grep -i '/kylin/api/xxx/diag' /var/log/kylin/kylin.log

• java / supply-chain: Examine dependencies for known vulnerabilities that could be chained with this SSRF vulnerability. • generic web: Check for exposed internal services reachable from the Kylin server using tools like nmap or curl to identify potential targets for SSRF attacks.

1. 2025-03-27Disclosure

   disclosure

1. 已保留2024-10-09
2. 发布日期2025-03-27
3. EPSS 更新日期2026-04-02

针对 CVE-2024-48944，最有效的缓解措施是升级至 Apache Kylin 5.0.2 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制 Kylin 服务器的网络访问权限，阻止其访问不必要的内部主机。其次，禁用或限制“/kylin/api/xxx/diag” API 接口的访问，或者将其限制为仅允许来自 Kylin 服务器内部的请求。最后，实施严格的访问控制策略，确保只有授权用户才能访问 Kylin 服务器的管理员功能。升级后，请确认版本已成功升级，并检查 Kylin 服务器的日志，以确保没有新的异常活动。