登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

Apache DolphinScheduler信息泄漏漏洞(CVE-2023-48796)通告

【發布時間:2023-12-13】

BOB登陆 盾山實驗室

2023/11/27


1. 漏洞綜述

1.1 漏洞背景

Apache DolphinScheduler是一個分布式、易擴展、可視化的工作流任務調度平台,旨在解決大數據場景下複雜任務的調度和監控問題。支持數據抽取、數據處理、數據傳輸等豐富的任務類型,用戶可以通過可視化的方式創建、監控和管理這些任務。DolphinScheduler提供了多租戶、任務依賴、任務流程編排、告警通知、任務監控等豐富的功能特性,具有良好的擴展性和靈活性。近日,BOB登陆 盾山實驗室監測到Apache官方發布了安全公告,修複了一個存在於Apache DolphinScheduler中的信息泄露漏洞(CVE-2023-48796),攻擊者可利用該漏洞獲取敏感信息。

1.2 漏洞詳情

Apache DolphinScheduler存在信息泄露漏洞,由於沒有限製暴露的端點,導致所有端點全部暴露,未經身份驗證的惡意攻擊者通過訪問其他端點獲取獲取敏感數據(如訪問/actuator/configprops端點查看所有配置屬性,可獲取數據庫憑證信息)。

2. 影響範圍

3.0.0<=Apache DolphinScheduler<3.0.2

3. 嚴重等級

威脅等級

嚴重

影響程度

廣泛

利用價值

利用難度

漏洞評分

/

4. 處置方法

4.1 官方補丁

目前官方已修複該漏洞,受影響用戶可以升級更新到安全版本。官方下載鏈接:https://github.com/apache/dolphinscheduler/releases

5. 參考鏈接

https://github.com/apache/dolphinscheduler/releases

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

BOB登陆 官網
聯係我們