• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

Apache DolphinScheduler信息泄漏漏洞(CVE-2023-48796)通告

【发布时间:2023-12-13】

新华三盾山实验室

2023/11/27


1. 漏洞综述

1.1 漏洞背景

Apache DolphinScheduler是一个分布式、易扩展、可视化的工作流任务调度平台,旨在解决大数据场景下复杂任务的调度和监控问题。支持数据抽取、数据处理、数据传输等丰富的任务类型,用户可以通过可视化的方式创建、监控和管理这些任务。DolphinScheduler提供了多租户、任务依赖、任务流程编排、告警通知、任务监控等丰富的功能特性,具有良好的扩展性和灵活性。近日,新华三盾山实验室监测到Apache官方发布了安全公告,修复了一个存在于Apache DolphinScheduler中的信息泄露漏洞(CVE-2023-48796),攻击者可利用该漏洞获取敏感信息。

1.2 漏洞详情

Apache DolphinScheduler存在信息泄露漏洞,由于没有限制暴露的端点,导致所有端点全部暴露,未经身份验证的恶意攻击者通过访问其他端点获取获取敏感数据(如访问/actuator/configprops端点查看所有配置属性,可获取数据库凭证信息)。

2. 影响范围

3.0.0<=Apache DolphinScheduler<3.0.2

3. 严重等级

威胁等级

严重

影响程度

广泛

利用价值

利用难度

漏洞评分

/

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/apache/dolphinscheduler/releases

5. 参考链接

https://github.com/apache/dolphinscheduler/releases

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

新华三官网
联系我们