Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796)

2023年11月26日下午2:00 • 漏洞

漏洞类型	未授权敏感信息泄露	发现时间	2023-11-24	漏洞等级	高危
MPS编号	MPS-p9et-w8rl	CVE编号	CVE-2023-48796	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。
受影响版本中，由于没有限制暴露的端点，导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性，可能泄露数据库凭证信息。

参考链接：https://www.oscs1024.com/hd/MPS-p9et-w8rl

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
org.apache.dolphinscheduler:dolphinscheduler-alert [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-meter [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-api [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-server [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
参考链接：https://www.oscs1024.com/hd/MPS-p9et-w8rl

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p9et-w8rl

https://nvd.nist.gov/vuln/detail/CVE-2023-48796

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a

CVE-2023-48796 漏洞

赞 (0)

Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

上一篇 2023年11月23日下午8:00

NPM组件包 openssl v2.0 存在命令注入漏洞 (CVE-2023-49210)

下一篇 2023年11月26日下午2:00

漏洞

libwebp堆缓冲区溢出漏洞 (CVE-2023-5129)

漏洞类型输入验证不恰当发现时间 2023-09-26 漏洞等级严重 MPS编号 MPS-wr17-50l6 CVE编号 CVE-2023-5129 漏洞影响广度广漏洞危害 OSCS 描述 WebP是由Google开发的一种栅格图形文件格式，旨在取代JPEG、PNG和GIF文件格式，libwebp是其解析处理的标准实现，被Chromium、Firef…

2023年9月27日
00
漏洞

IP包isPublic函数判断不严 (CVE-2023-42282)

漏洞类型对数据真实性的验证不充分发现时间 2024-02-09 漏洞等级中危 MPS编号 MPS-svdp-96t3 CVE编号 CVE-2023-42282 漏洞影响广度小漏洞危害 OSCS 描述 NPM IP包v.1.1.8及之前版本中isPublic()函数针未正确判断16进制形式的IP地址，当应用使用isPublic()函数判断内外网地址时…

2024年2月12日
00
漏洞

NPM组件 @coolblue-development/next-recently-viewed 等窃取主机敏感信息

【高危】NPM组件 @coolblue-development/next-recently-viewed 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 @coolblue-development/next-recently-viewed 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 …

2025年8月1日
00
漏洞

PowerJob<=4.3.3 远程代码执行漏洞（CVE-2023-37754）[有POC]

漏洞类型代码注入发现时间 2023/7/26 漏洞等级严重 MPS编号 MPS-ycmw-pl41 CVE编号 CVE-2023-37754 漏洞影响广度一般漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权，4.3.3 及之前版本中，未经授权的攻击者可向 /instance/det…

2023年8月11日
00
漏洞

jeecg-boot/积木报表基于 SSTI 的任意代码执行漏洞 [有POC]

漏洞类型代码注入发现时间 2023/8/13 漏洞等级严重 MPS编号 MPS-4hzd-mb73 CVE编号 – 漏洞影响广度广漏洞危害 OSCS 描述 JeecgBoot 是一款开源的的低代码开发平台，积木报表是其中的低代码报表组件。JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryF…

2023年9月1日
00