الثغرات ›

CVE-2025-66518

مرتفع

ثغرة اجتياز المسار في Apache Kyuubi تسمح بالوصول غير المصرح به للملفات المحلية

CWE-27 — نوع الضعف

                    نُشر: Jan 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Any client who can access to Apache Kyuubi Server via Kyuubi frontend protocols can bypass server-side config kyuubi.session.local.dir.allow.list and use local files which are not listed in the config.

This issue affects Apache Kyuubi: from 1.6.0 through 1.10.2.

Users are recommended to upgrade to version 1.10.3 or upper, which fixes the issue.

🤖 ملخص AI

Apache Kyuubi Server contains a path traversal vulnerability allowing authenticated clients to bypass the kyuubi.session.local.dir.allow.list configuration and access unauthorized local files. This affects versions 1.6.0 through 1.10.2 and requires immediate upgrade to version 1.10.3 or later.

📄 الوصف (العربية)

ثغرة في Apache Kyuubi تسمح للعملاء المصرح لهم بتجاوز قيود التحكم في الوصول إلى الملفات المحلية المحددة في kyuubi.session.local.dir.allow.list. يمكن للمهاجمين الوصول إلى ملفات حساسة خارج القائمة المسموح بها. هذه الثغرة تؤثر على جميع الإصدارات من 1.6.0 إلى 1.10.2.

🤖 ملخص تنفيذي (AI)

خادم Apache Kyuubi يحتوي على ثغرة تجاوز المسار تسمح للعملاء المصرح لهم بتجاوز تكوين kyuubi.session.local.dir.allow.list والوصول إلى ملفات محلية غير مصرح بها. يؤثر هذا على الإصدارات من 1.6.0 إلى 1.10.2 ويتطلب ترقية فورية إلى الإصدار 1.10.3 أو أحدث.

🤖 التحليل الذكي آخر تحليل: May 1, 2026 10:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1021 T1083 T1552

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Apache Kyuubi to version 1.10.3 or later. Implement network segmentation to restrict access to Kyuubi frontend protocols. Review and audit access logs for unauthorized file access attempts. Apply principle of least privilege for service accounts running Kyuubi.

🔧 خطوات المعالجة (العربية)

قم بترقية Apache Kyuubi فوراً إلى الإصدار 1.10.3 أو أحدث. طبق تقسيم الشبكة لتقييد الوصول إلى بروتوكولات واجهة Kyuubi. راجع وتدقيق سجلات الوصول لمحاولات الوصول غير المصرح بها للملفات. طبق مبدأ الامتيازات الأقل للحسابات الخدمية التي تشغل Kyuubi.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 المراجع والمصادر 2

🔗

https://lists.apache.org/thread/xp460bwbyzdhho34ljd4nchyt2fmhodl

security@apache.org

Mailing List

🔗

http://www.openwall.com/lists/oss-security/2026/01/05/1

af854a3a-2127-422b-91ae-364da2661108

Mailing List Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

apache:kyuubi

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-27

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-05

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-27

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-66518

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب