文章总结： ApacheKyuubi存在高危漏洞CVE-2025-66518，因路径归一化缺失，攻击者可绕过目录白名单配置读取服务器本地敏感文件。漏洞影响1.6.0至1.10.2版本，CVSS评分为8.8。建议管理员立即升级至1.10.3或更高版本以修复该安全绕过问题。 综合评分： 83 文章分类： 漏洞预警,漏洞分析,数据安全

CVE-2025-66518：Apache Kyuubi 中的高危漏洞暴露本地服务器文件

sec随谈

sec随谈

2026年1月6日 08:48 北京

Apache Kyuubi 是一款分布式网关，旨在为海量数据湖提供安全、无服务器的 SQL 访问。该网关已修复一个高危漏洞，该漏洞可能允许未经授权的攻击者访问服务器的本地文件系统。此漏洞编号为 CVE-2025-66518，CVSS 评分为 8.8，它实际上会使系统的目录允许列表对精通此道的攻击者失效。

Kyuubi 被广泛用于降低终端用户通过 Spark SQL 引擎操作大规模数据的门槛。虽然其多租户架构旨在提供“数据安全”和“资源隔离”，但这个最新的漏洞却突破了这些管理控制措施。

漏洞在于Kyuubi 服务器处理文件路径的方式。管理员依赖于名为 kyuubi.session.local.dir.allow.list 的配置项来严格定义客户端可以访问哪些本地目录。理想情况下，这相当于一个沙箱，可以防止用户误入敏感的系统文件夹。

然而，由于“缺少路径归一化”，这种安全检查可以被绕过。

根据披露的信息，“任何能够通过 Kyuubi 前端协议访问 Apache Kyuubi 服务器的客户端都可以绕过服务器端配置……并使用配置中未列出的本地文件。”

利用这种缺乏清理机制，攻击者可能会读取服务器上的敏感配置文件或系统数据，从而违反平台隔离的承诺。

该问题影响到近期多个版本，特别是 kyuubi-server 组件。

• 受影响版本：Apache Kyuubi 1.6.0 至 1.10.2。

Apache Kyuubi 社区发布了一个修复程序，以强制执行正确的路径规范化。强烈建议管理员立即将服务器实例升级到 1.10.3 或更高版本，以恢复数据边界的完整性。

参考链接：

https://lists.apache.org/thread/xp460bwbyzdhho34ljd4nchyt2fmhodl

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《CVE-2025-66518：Apache Kyuubi 中的高危漏洞暴露本地服务器文件》