• 漏洞编号：CVE-2025-66518
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：暂无

漏洞描述

Apache Kyuubi是Apache基金会旗下的分布式SQL网关与多租户计算服务平台，主要面向Apache Spark、Flink等大数据计算引擎。Kyuubi通过统一的服务层对外提供JDBC/REST等访问接口，实现会话隔离、权限控制、资源管理与审计能力，降低多用户共享大数据集群的运维与安全复杂度，广泛应用于企业级数据分析与数据治理场景。2026年1月7日，启明星辰集团VSRC监测到Apache Kyuubi Server中存在目录访问控制绕过漏洞。由于服务器端在处理本地路径时缺乏必要的路径规范化校验，攻击者只要能够通过Kyuubi前端协议访问服务，即可绕过kyuubi.session.local.dir.allow.list配置限制，访问或使用未被允许列表包含的本地文件资源。该问题可能导致本地敏感数据被非法读取，破坏系统原有的访问控制边界，增加数据泄露与合规风险。漏洞评分8.8分，漏洞级别高危。

修复建议

暂无

参考链接

https://lists.apache.org/thread/xp460bwbyzdhho34ljd4nchyt2fmhodl/

https://nvd.nist.gov/vuln/detail/CVE-2025-66518

https://www.venustech.com.cn/new_type/aqtg/20260107/29065.html