Apache DolphinScheduler w wersjach przed 3.2.2 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Brak wymogu uwierzytelnienia oraz niski próg ataku sprawiają, że zagrożenie jest wyjątkowo poważne.
▸ Pokaż oryginał (EN)
Exposure of Remote Code Execution in Apache Dolphinscheduler. This issue affects Apache DolphinScheduler: before 3.2.2. We recommend users to upgrade Apache DolphinScheduler to version 3.2.2, which fixes the issue.
Podatność klasyfikowana jako CWE-94 (Improper Control of Generation of Code) pozwala atakującemu na zdalne wstrzyknięcie i wykonanie dowolnego kodu na serwerze. Atak może zostać przeprowadzony przez sieć bez konieczności posiadania konta ani interakcji ze strony użytkownika. Szczegółowy mechanizm eksploatacji nie został ujawniony w opisie producenta.
Atakujący może uzyskać pełną kontrolę nad podatnym serwerem, w tym dostęp do poufnych danych, modyfikację konfiguracji oraz potencjalnie lateral movement w obrębie sieci wewnętrznej.
Należy niezwłocznie zaktualizować Apache DolphinScheduler do wersji 3.2.2, która eliminuje opisaną podatność. Szczegółowe informacje dostępne są w referencjach producenta.
Apache DolphinScheduler we wszystkich wersjach przed 3.2.2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Dolphinscheduler
APPApache3.0.0 – 3.2.2 (bez)
Powiązane podatności
Nieprawidłowe domyślne uprawnienia w Apache DolphinScheduler
RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia
Improper validation of script alert plugin parameters in Apache DolphinScheduler to avoid remote command execu...
Alarm instance management has command injection when there is a specific command configured. It is only for lo...
In DolphinScheduler 1.2.0 and 1.2.1, with mysql connectorj a remote code execution vulnerability exists when c...