Apache Kylin 信息泄露漏洞CVE-2020-13937

Apache Kylin™ 是一个开源的分布式分析引擎，提供 Hadoop/Spark 之上的 SQL 查询接口及多维分析（OLAP）能力以支持超大规模数据，最初由 eBay Inc 开发并贡献至开源社区，它能在一秒内查询巨大的 Hive 表。作为一个 SQL 加速层，Kylin 可以下接各种数据源，例如 Hive/Kafka，上接各种 BI 系统，比如 Tableau，PowerBI，也可以直接进行 Ad-hoc 的查询。

Apache Kylin 2.x，Apache Kylin 3.1.0及以下和Apache Kylin 4.0.0-alpha存在未授权访问漏洞，一个包含配置信息的api可以在没有认证的情况下直接访问。攻击者通过访问该接口可以获得一些重要的配置信息。

搭建Apache Kylin3.1.0环境，成功复现漏洞如下：

1. 目前厂商已发布升级补丁修复漏洞，请受影响用户尽快进行升级加固。补丁获取链接：https://github.com/apache/kylin/tree/kylin-3.1.1

2. 对于低版本，可以直接删除$KYLIN_HOME/WEB-INF/classes/kylinSecurity.xml文件中的 并重启Kylin以关闭该接口。