Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796)

2023年11月26日下午2:00 • 漏洞

漏洞类型	未授权敏感信息泄露	发现时间	2023-11-24	漏洞等级	高危
MPS编号	MPS-p9et-w8rl	CVE编号	CVE-2023-48796	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。
受影响版本中，由于没有限制暴露的端点，导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性，可能泄露数据库凭证信息。

参考链接：https://www.oscs1024.com/hd/MPS-p9et-w8rl

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
org.apache.dolphinscheduler:dolphinscheduler-alert [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-meter [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-api [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-server [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
参考链接：https://www.oscs1024.com/hd/MPS-p9et-w8rl

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p9et-w8rl

https://nvd.nist.gov/vuln/detail/CVE-2023-48796

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a

CVE-2023-48796 漏洞

赞 (0)

Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

上一篇 2023年11月23日下午8:00

NPM组件包 openssl v2.0 存在命令注入漏洞 (CVE-2023-49210)

下一篇 2023年11月26日下午2:00

漏洞

Dataease jdbc 反序列化漏洞 (CVE-2024-23328)

漏洞类型反序列化发现时间 2024-02-29 漏洞等级严重 MPS编号 MPS-j54s-zgbo CVE编号 CVE-2024-23328 漏洞影响广度一般漏洞危害 OSCS 描述 Dataease是一款开源的数据可视化分析工具。受影响版本中，由于未对用户输入的数据库连接参数做有效过滤，具有 Dataease 登陆权限的攻击者可通过使用URL…

2024年3月1日
00
mysql2 readCodeFor 远程代码执行漏洞 (CVE-2024-21508)

漏洞类型代码注入发现时间 2024-04-11 漏洞等级严重 MPS编号 MPS-3gmx-vbwq CVE编号 CVE-2024-21508 漏洞影响广度广漏洞危害 OSCS 描述 mysql2 是一个 Node.js 中用于与 MySQL 数据库进行交互的软件包。 mysql2 软件包中存在远程代码执行漏洞。由于 readCodeFor 函数未…

漏洞 2024年4月15日
00
漏洞

PowerJob<=4.3.3 远程代码执行漏洞（CVE-2023-37754）[有POC]

漏洞类型代码注入发现时间 2023/7/26 漏洞等级严重 MPS编号 MPS-ycmw-pl41 CVE编号 CVE-2023-37754 漏洞影响广度一般漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权，4.3.3 及之前版本中，未经授权的攻击者可向 /instance/det…

2023年8月11日
00
漏洞

jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞 [有POC]

漏洞类型代码注入发现时间 2023/8/11 漏洞等级高危 MPS编号 MPS-bjs4-n6dm CVE编号 – 漏洞影响广度广漏洞危害 OSCS 描述 JeecgBoot 是一款开源的的低代码开发平台，积木报表是其中的低代码报表组件。JeecgBoot 受影响版本中，由于 jeecg-boot/jmreport/testConnec…

2023年9月1日
00
Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

漏洞类型权限管理不当发现时间 2024-04-12 漏洞等级高危 MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度广漏洞危害 OSCS 描述 Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。 Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在A…

漏洞 2024年4月15日
00