【漏洞预警】Apache DolphinScheduler 敏感信息泄漏CVE-2023-48796

admin 2023年11月28日13:19:41评论42 views字数 1119阅读3分43秒阅读模式

【漏洞预警】Apache DolphinScheduler 敏感信息泄漏CVE-2023-48796

产品简介:
Apache DolphinScheduler(海豚调度),国人之光,是许多国人开源在Apache的顶级项目,主要功能就是负责任务的调度处理。
Apache DolphinScheduler是一个分布式去中心化,易扩展的可视化DAG工作流任务调度系统。致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。

漏洞描述:

Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。受影响版本中,由于没有限制暴露的端点,导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性,可能泄露数据库凭证信息。

影响范围:
org.apache.dolphinscheduler:dolphinscheduler-server[3.0.0, 3.0.2)

org.apache.dolphinscheduler:dolphinscheduler-meter[3.0.0, 3.0.2)

org.apache.dolphinscheduler:dolphinscheduler-api[3.0.0, 3.0.2)

org.apache.dolphinscheduler:dolphinscheduler-alert[3.0.0, 3.0.2)

修复方案:
将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本

将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本

将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本

在application.yaml中添加include: health,metrics,prometheus

将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本

参考链接:
https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a

原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache DolphinScheduler 敏感信息泄漏CVE-2023-48796

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月28日13:19:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache DolphinScheduler 敏感信息泄漏CVE-2023-48796http://cn-sec.com/archives/2246680.html

发表评论

匿名网友 填写信息