Apache DolphinScheduler w wersjach przed 3.2.2 zawiera podatność klasy CWE-276 (Incorrect Default Permissions), polegającą na niewłaściwej konfiguracji domyślnych uprawnień. Podatność uzyskała ocenę CVSS 9.8 (Critical), co oznacza możliwość pełnego naruszenia poufności, integralności i dostępności systemu przez nieuwierzytelnionego atakującego zdalnie.
▸ Pokaż oryginał (EN)
Incorrect Default Permissions vulnerability in Apache DolphinScheduler. This issue affects Apache DolphinScheduler: before 3.2.2. Users are recommended to upgrade to version 3.3.1, which fixes the issue.
Błąd polega na nieprawidłowym ustawieniu domyślnych uprawnień w oprogramowaniu Apache DolphinScheduler. Zgodnie z wektorem CVSS, exploit nie wymaga uwierzytelnienia ani interakcji użytkownika, a atak może być przeprowadzony zdalnie przez sieć. Nieprawidłowe uprawnienia mogą umożliwiać nieautoryzowany dostęp do zasobów lub operacji, które powinny być chronione.
Atakujący może uzyskać pełen dostęp do systemu — naruszając poufność, integralność i dostępność danych — bez konieczności posiadania jakichkolwiek uprawnień czy poświadczeń.
Należy niezwłocznie zaktualizować Apache DolphinScheduler do wersji 3.3.1, która zawiera poprawkę eliminującą podatność. Szczegóły dostępne są w referencjach producenta pod adresem: https://lists.apache.org/thread/8zd69zkkx55qp365xp4tml1xh9og5lhk
Apache DolphinScheduler w wersjach przed 3.2.2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Dolphinscheduler
APPApache< 3.2.2
Powiązane podatności
RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia
RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia
Improper validation of script alert plugin parameters in Apache DolphinScheduler to avoid remote command execu...
Alarm instance management has command injection when there is a specific command configured. It is only for lo...
In DolphinScheduler 1.2.0 and 1.2.1, with mysql connectorj a remote code execution vulnerability exists when c...