1. 墨知首页
  2. 漏洞

Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796)

漏洞
漏洞类型 未授权敏感信息泄露 发现时间 2023-11-24 漏洞等级 高危
MPS编号 MPS-p9et-w8rl CVE编号 CVE-2023-48796 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。
受影响版本中,由于没有限制暴露的端点,导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性,可能泄露数据库凭证信息。

参考链接:https://www.oscs1024.com/hd/MPS-p9et-w8rl

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dolphinscheduler:dolphinscheduler-alert [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-meter [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-api [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-server [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
参考链接:https://www.oscs1024.com/hd/MPS-p9et-w8rl

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p9et-w8rl

https://nvd.nist.gov/vuln/detail/CVE-2023-48796

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a

(0)
上一篇 2023年11月23日 下午8:00
下一篇 2023年11月26日 下午2:00

相关推荐

  • IoTDB 存在远程代码执行漏洞 (CVE-2023-46226) 漏洞

    IoTDB 存在远程代码执行漏洞 (CVE-2023-46226)

    漏洞类型 表达式语言注入 发现时间 2024-01-15 漏洞等级 中危 MPS编号 MPS-c4ml-t1ka CVE编号 CVE-2023-46226 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎,全称是Java表达式语言(Java …

    2024年1月17日
    0
  • Apache CXF Aegis DataBinding 存在SSRF漏洞 (CVE-2024-28752) 漏洞

    Apache CXF Aegis DataBinding 存在SSRF漏洞 (CVE-2024-28752)

    漏洞类型 SSRF 发现时间 2024-03-15 漏洞等级 中危 MPS编号 MPS-lhqv-numb CVE编号 CVE-2024-28752 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache CXF 是开源的Web服务框架,Aegis databinding 是将 XML/JSON 数据和对象进行转换的数据绑定功能。 受影响版本中,由于 At…

    2024年3月16日
    0
  • Apache Airflow 渲染模版配置泄露漏洞 (CVE-2023-40712) 漏洞

    Apache Airflow 渲染模版配置泄露漏洞 (CVE-2023-40712)

    漏洞类型 通过发送数据的信息暴露 发现时间 2023-09-12 漏洞等级 中危 MPS编号 MPS-dva6-4mre CVE编号 CVE-2023-40712 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。 在受影响版本中,当DAG任务运行时,由于日期解析存在缺陷,…

    2023年9月13日
    0
  • 泛微E-Office10 < 10.0_20240222 远程代码执行漏洞 (MPS-4tme-or5n) 漏洞

    泛微E-Office10 < 10.0_20240222 远程代码执行漏洞 (MPS-4tme-or5n)

    漏洞类型 反序列化 发现时间 2024-03-27 漏洞等级 严重 MPS编号 MPS-4tme-or5n CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 泛微e-office OA系统是通过php开发面向中小型组织的专业协同OA软件。 在受影响版本中,由于处理上传的phar文件时存在缺陷,攻击者可通过向/eoffice10/serv…

    2024年3月28日
    0
  • 泛微 e-cology <10.58.3 任意文件上传漏洞 漏洞

    泛微 e-cology <10.58.3 任意文件上传漏洞

    漏洞类型 任意文件上传 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-rkja-iwgs CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微 e-cology 10.58.3之前版本存在任意文件上传漏洞,由于上传接口身份认证缺失,未经过身份验证的…

    2023年8月11日
    0