Vulnerabilities ›

CVE-2025-66518

High

Apache Kyuubi Path Traversal Vulnerability Allows Unauthorized Local File Access

CWE-27 — Weakness Type

                    Published: Jan 5, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Any client who can access to Apache Kyuubi Server via Kyuubi frontend protocols can bypass server-side config kyuubi.session.local.dir.allow.list and use local files which are not listed in the config.

This issue affects Apache Kyuubi: from 1.6.0 through 1.10.2.

Users are recommended to upgrade to version 1.10.3 or upper, which fixes the issue.

🤖 AI Executive Summary

Apache Kyuubi Server contains a path traversal vulnerability allowing authenticated clients to bypass the kyuubi.session.local.dir.allow.list configuration and access unauthorized local files. This affects versions 1.6.0 through 1.10.2 and requires immediate upgrade to version 1.10.3 or later.

📄 Description (Arabic)

ثغرة في Apache Kyuubi تسمح للعملاء المصرح لهم بتجاوز قيود التحكم في الوصول إلى الملفات المحلية المحددة في kyuubi.session.local.dir.allow.list. يمكن للمهاجمين الوصول إلى ملفات حساسة خارج القائمة المسموح بها. هذه الثغرة تؤثر على جميع الإصدارات من 1.6.0 إلى 1.10.2.

🤖 ملخص تنفيذي (AI)

خادم Apache Kyuubi يحتوي على ثغرة تجاوز المسار تسمح للعملاء المصرح لهم بتجاوز تكوين kyuubi.session.local.dir.allow.list والوصول إلى ملفات محلية غير مصرح بها. يؤثر هذا على الإصدارات من 1.6.0 إلى 1.10.2 ويتطلب ترقية فورية إلى الإصدار 1.10.3 أو أحدث.

🤖 AI Intelligence Analysis Analyzed: May 1, 2026 10:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1021 T1083 T1552

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Apache Kyuubi to version 1.10.3 or later. Implement network segmentation to restrict access to Kyuubi frontend protocols. Review and audit access logs for unauthorized file access attempts. Apply principle of least privilege for service accounts running Kyuubi.

🔧 خطوات المعالجة (العربية)

قم بترقية Apache Kyuubi فوراً إلى الإصدار 1.10.3 أو أحدث. طبق تقسيم الشبكة لتقييد الوصول إلى بروتوكولات واجهة Kyuubi. راجع وتدقيق سجلات الوصول لمحاولات الوصول غير المصرح بها للملفات. طبق مبدأ الامتيازات الأقل للحسابات الخدمية التي تشغل Kyuubi.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 References & Sources 2

🔗

https://lists.apache.org/thread/xp460bwbyzdhho34ljd4nchyt2fmhodl

security@apache.org

Mailing List

🔗

http://www.openwall.com/lists/oss-security/2026/01/05/1

af854a3a-2127-422b-91ae-364da2661108

Mailing List Third Party Advisory

📦 Affected Products / CPE 1 entries

apache:kyuubi

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-27

EPSS0.03%

Exploit No

Patch ✓ Yes

Published 2026-01-05

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-27

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2025-66518

💬 Comments

Introduce Yourself

Sign In Required