漏洞详情
CVE-2023-48796 被归类为“重要”严重性漏洞。它影响 Apache DolphinScheduler 版本 3.0.0 至 3.0.2。该漏洞是由于敏感信息(尤其是数据库凭据)的不当暴露而引起的。这使得未经授权的行为者能够拦截和利用这些敏感数据,从而可能获得对底层数据库的未经授权的访问,并损害系统的完整性和安全性。
影响
敏感信息(包括数据库凭证)的暴露可能会给使用 Apache DolphinScheduler 的组织带来严重后果。未经授权访问数据库可能会让攻击者操纵数据、窃取敏感信息,甚至破坏操作。这可能会导致经济损失、声誉受损以及潜在的法律后果。
防御
为了解决此漏洞,Apache DolphinScheduler 发布了版本3.0.2,修复了该问题。强烈建议用户尽快升级到此最新版本。或者,如果升级不能立即可行,用户可以通过设置环境变量MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE=health,metrics,prometheus来实现解决方法。这将限制敏感信息的暴露。此外,用户可以将以下部分添加到application.yaml 文件中:通过升级到最新版本或实施提供的解决方法,组织可以有效降低未经授权访问敏感信息的风险。
原文始发于微信公众号(Ots安全):CVE-2023-48796:Apache dolphinscheduler 敏感信息泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论