高危，企业必须立即修复！｜Apache Kyuubi 路径遍历漏洞（CVE-2025-66518）

近日，Apache 官方披露了一款针对大数据 SQL 引擎 Apache Kyuubi 的高危安全漏洞，漏洞编号CVE-2025-66518，CVSS 评分高达8.8，属于高危级别漏洞。该漏洞影响 Apache Kyuubi 1.6.0 至 1.10.2 全版本，攻击者可利用此漏洞绕过文件访问路径限制，非法读取服务器本地敏感文件，进而窃取配置密钥、业务数据等核心信息，对企业大数据平台的安全架构构成严重威胁。鉴于 Apache Kyuubi 在大数据生态中广泛用于统一 SQL 访问、跨引擎查询等场景，漏洞的爆发可能波及大量政企用户，立即启动漏洞排查与修复工作刻不容缓。

一、漏洞核心技术原理深度解析

1. 漏洞本质

CVE-2025-66518 是典型的路径遍历与访问控制绕过漏洞，其根源在于 Apache Kyuubi 对用户输入的文件路径参数校验机制存在缺陷。

在正常业务逻辑中，Kyuubi 会限制用户仅能访问指定的合法路径（如授权的 HDFS 目录、本地工作目录），通过过滤../等路径遍历字符防止越权访问。但该漏洞版本中，路径校验逻辑存在逻辑疏漏：攻击者可通过构造特殊编码的路径字符串（如 URL 编码的%2e%2e/、多斜杠/等），绕过系统的字符过滤规则，使服务器解析请求时将恶意路径判定为合法路径，从而实现对服务器本地任意文件的读取操作。

2. 漏洞影响范围与危害程度

（1）受影响版本全覆盖

漏洞覆盖 Apache Kyuubi 1.6.0 发布后的所有主流版本，具体包括：

• 1.6.x 系列：1.6.0
• 1.7.x 系列：全版本
• 1.8.x 系列：全版本
• 1.9.x 系列：全版本
• 1.10.x 系列：1.10.0-1.10.2

官方已明确 1.10.3 及以上版本为安全版本，该版本彻底重构了路径校验逻辑，从根源上封堵了漏洞。

（2）高危危害的连锁反应

基于 CVSS 8.8 的评分标准，该漏洞具备高攻击成功率、无复杂利用条件、严重危害后果三大特征，具体危害体现在：

1. 敏感文件泄露：攻击者可读取服务器本地的/etc/passwd、SSH 密钥、数据库配置文件、Kyuubi 核心配置（如kyuubi-defaults.conf）等，获取系统权限凭证与业务核心信息；
2. 横向渗透跳板：利用泄露的密钥与配置，攻击者可进一步登录服务器、访问关联的大数据组件（如 Hive、Spark），扩大攻击范围；
3. 数据泄露风险：若服务器本地存储有未脱敏的业务数据文件，攻击者可直接窃取，引发数据泄露合规风险（如违反《网络安全法》《数据安全法》）；
4. 业务中断隐患：攻击者可通过读取日志文件分析业务逻辑，针对性发起后续攻击，甚至篡改配置文件导致 Kyuubi 服务异常中断。

二、应急响应与修复方案（分优先级执行）

针对该漏洞，需遵循“优先升级、辅助防护、全面监控”的原则，分步骤落实修复工作，确保漏洞零暴露。

1. 第一优先级：版本升级（彻底修复方案）

版本升级是解决该漏洞的根本手段，官方已在 1.10.3 版本中完成路径校验逻辑的重构，具体操作步骤如下（以 Linux 环境为例）：

（1）前置准备工作

1. 备份关键配置：将现有 Kyuubi 安装目录下的conf文件夹完整备份，避免升级过程中配置丢失；

   cp-r /opt/kyuubi/conf /opt/kyuubi_conf_bak

2. 确认服务状态：查看 Kyuubi 运行进程，记录服务端口与依赖组件（如 ZooKeeper、HDFS）的关联状态；

   jps|grepKyuubiServer

3. 下载安全版本：从 Apache 官方镜像站下载 1.10.3 及以上版本的二进制包，优先选择就近镜像以提升下载速度；

   wgethttps://archive.apache.org/dist/kyuubi/kyuubi-1.10.3/apache-kyuubi-1.10.3-bin.tgz

（2）升级操作流程

1. 停止运行服务：根据服务管理方式执行停止命令，避免强制终止导致数据损坏；
   • 若使用 systemd 管理：

     sudosystemctl stop kyuubi

   • 若为手动启动进程：

     ps-ef|grepkyuubi|grep-vgrep|awk'{print $2}'|xargskill-15

2. 替换安装目录：解压新版本安装包，替换原有 Kyuubi 目录，并恢复备份的配置文件；

   # 解压新版本tar-zxvf apache-kyuubi-1.10.3-bin.tgz# 备份旧版本目录mv/opt/kyuubi /opt/kyuubi_old# 移动新版本至安装路径mvapache-kyuubi-1.10.3-bin /opt/kyuubi# 恢复配置文件cp-r /opt/kyuubi_conf_bak/* /opt/kyuubi/conf/

3. 启动新版本服务：启动服务后验证运行状态，检查日志是否存在异常报错；

   # 启动服务/opt/kyuubi/bin/kyuubi start# 查看启动日志tail-f /opt/kyuubi/logs/kyuubi-server.out

4. 版本校验：确认服务版本为 1.10.3 及以上，确保漏洞修复生效；

   /opt/kyuubi/bin/kyuubi version

（3）集群环境特殊注意事项

若 Kyuubi 部署在分布式集群中，需确保所有节点同步升级，避免因版本不一致导致的集群通信异常：

1. 采用批量分发工具（如 Ansible）将新版本安装包同步至所有集群节点；
2. 按“先从节点、后主节点”的顺序停止与启动服务；
3. 升级完成后，通过 ZooKeeper 查看 Kyuubi 集群节点注册状态，确认无节点失联。

2. 第二优先级：临时防护方案（无法立即升级时）

若因业务高峰期、系统兼容性等原因无法立即升级，可通过以下临时措施降低漏洞暴露风险，为后续升级争取时间：

（1）网络层访问控制

1. 限制端口访问：通过防火墙/安全组策略，仅允许可信 IP 网段（如企业内网、大数据运维网段）访问 Kyuubi 服务端口（默认 10009），阻断外部非法请求；

   # iptables 配置示例（仅允许 192.168.1.0/24 网段访问）sudoiptables -A INPUT -p tcp --dport10009-s192.168.1.0/24 -j ACCEPTsudoiptables -A INPUT -p tcp --dport10009-j DROP

2. 禁用公网暴露：若 Kyuubi 服务无需对外提供访问，直接关闭公网网卡的端口映射，或通过反向代理限制访问来源。

（2）系统权限最小化

1. 降低运行用户权限：确保 Kyuubi 服务以低权限用户运行，禁止使用 root 用户启动服务，限制该用户对/root、/etc/ssh等敏感目录的访问权限；
2. 设置文件访问白名单：通过文件系统权限控制（如 chmod、chown），仅允许 Kyuubi 用户访问业务必需的目录，对敏感文件添加只读限制。

（3）请求流量监控

1. 开启详细审计日志：在 Kyuubi 配置文件中开启 DEBUG 级别的日志，记录所有文件访问请求，重点监控包含../、%2e、多斜杠等特征的请求；
2. 部署入侵检测规则：在企业防火墙或 IDS/IPS 系统中添加规则，拦截包含路径遍历特征的请求，及时告警异常访问行为。

3. 第三优先级：全面漏洞排查与加固

修复完成后，需开展全面的漏洞排查与安全加固工作，防止同类漏洞再次发生：

1. 漏洞验证：通过构造模拟攻击请求（如访问/../etc/hosts），验证修复后是否会被拒绝，确保漏洞完全封堵；
2. 配置审计：检查 Kyuubi 配置文件中是否存在宽松的文件访问权限配置，关闭不必要的本地文件访问功能；
3. 定期版本更新：建立 Apache Kyuubi 版本更新机制，及时关注官方安全公告，避免因版本滞后导致漏洞暴露。

三、前瞻性安全防护建议

针对大数据组件的安全防护，企业需建立“事前预防、事中监控、事后响应”的全生命周期安全体系，从根源上提升安全防护能力：

1. 建立组件漏洞监控机制：订阅 Apache 官方安全邮件列表、国家信息安全漏洞库（CNNVD）等渠道，第一时间获取漏洞预警信息，提前制定应急预案；
2. 推行最小权限原则：所有大数据组件（包括 Kyuubi、Hive、Spark）均以低权限用户运行，严格划分数据访问权限，避免权限过度集中；
3. 加强代码审计与输入校验：对于自研或二次开发的大数据组件，强化用户输入参数的校验逻辑，避免因路径过滤不彻底引发的遍历漏洞；
4. 定期开展渗透测试：针对大数据平台开展周期性的渗透测试，模拟攻击者视角发现潜在安全隐患，及时修复漏洞；
5. 完善数据备份与灾备方案：建立核心数据的定期备份机制，确保在遭遇攻击时能够快速恢复数据，降低业务损失。

结语

CVE-2025-66518 漏洞的爆发再次警示，大数据组件的安全防护不容忽视。随着大数据技术在政企领域的广泛应用，组件漏洞已成为网络攻击的重要切入点。企业需高度重视此次漏洞修复工作，优先完成版本升级，并以此为契机完善安全防护体系，筑牢大数据平台的安全防线。