1. 墨知首页
  2. 漏洞

Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796)

漏洞
漏洞类型 未授权敏感信息泄露 发现时间 2023-11-24 漏洞等级 高危
MPS编号 MPS-p9et-w8rl CVE编号 CVE-2023-48796 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。
受影响版本中,由于没有限制暴露的端点,导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性,可能泄露数据库凭证信息。

参考链接:https://www.oscs1024.com/hd/MPS-p9et-w8rl

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dolphinscheduler:dolphinscheduler-alert [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-meter [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-api [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-server [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
参考链接:https://www.oscs1024.com/hd/MPS-p9et-w8rl

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p9et-w8rl

https://nvd.nist.gov/vuln/detail/CVE-2023-48796

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a

(0)
上一篇 2023年11月23日 下午8:00
下一篇 2023年11月26日 下午2:00

相关推荐

  • curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对? 漏洞

    curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

    背景 Curl是从1998年开始开发的开源网络请求命令行工具,其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。 10月4日,curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本,并公开两个漏洞:CVE-2023-38545和CVE-2023-38546。其中 CVE-202…

    2023年10月10日
    0
  • OpenSSL 拒绝服务漏洞 (CVE-2023-6237) 漏洞

    OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

    漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危 MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般 漏洞危害 OSCS 描述 OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使…

    2024年1月16日
    0
  • NPM组件 querypilot 等窃取主机敏感信息 漏洞

    NPM组件 querypilot 等窃取主机敏感信息

    【高危】NPM组件 querypilot 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 querypilot 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-2kgq-v17b 处置建议 强烈建议修复 发现时间 2025-07-05 投毒仓库 npm 投毒类型 主机信息收集 利…

    2025年7月6日
    0
  • Apache Tomcat 信息泄露漏洞 (CVE-2024-21733) 漏洞

    Apache Tomcat 信息泄露漏洞 (CVE-2024-21733)

    漏洞类型 通过错误消息导致的信息暴露 发现时间 2024-01-19 漏洞等级 中危 MPS编号 MPS-9yx0-38v1 CVE编号 CVE-2024-21733 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Tomcat是一个开源Java Servlet容器和Web服务器,用于运行Java应用程序和动态网页。Coyote是Tomcat的连…

    2024年1月21日
    0
  • Apache Hadoop YARN Secure Containers 权限提升漏洞 (CVE-2023-26031) 漏洞

    Apache Hadoop YARN Secure Containers 权限提升漏洞 (CVE-2023-26031)

    漏洞类型 输入验证不恰当 发现时间 2023-11-16 漏洞等级 高危 MPS编号 MPS-2023-4973 CVE编号 CVE-2023-26031 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。YARN Secure Containers功能用于在隔离的 lin…

    2023年11月17日
    0