Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796)

2023年11月26日下午2:00 • 漏洞

漏洞类型	未授权敏感信息泄露	发现时间	2023-11-24	漏洞等级	高危
MPS编号	MPS-p9et-w8rl	CVE编号	CVE-2023-48796	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。
受影响版本中，由于没有限制暴露的端点，导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性，可能泄露数据库凭证信息。

参考链接：https://www.oscs1024.com/hd/MPS-p9et-w8rl

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
org.apache.dolphinscheduler:dolphinscheduler-alert [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-meter [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-api [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-server [3.0.0, 3.0.2)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本
	缓解措施	在application.yaml中添加include: health,metrics,prometheus
参考链接：https://www.oscs1024.com/hd/MPS-p9et-w8rl

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p9et-w8rl

https://nvd.nist.gov/vuln/detail/CVE-2023-48796

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a

CVE-2023-48796 漏洞

赞 (0)

Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

上一篇 2023年11月23日下午8:00

NPM组件包 openssl v2.0 存在命令注入漏洞 (CVE-2023-49210)

下一篇 2023年11月26日下午2:00

漏洞

Microsoft Exchange Server 远程代码执行漏洞 (CVE-2023-36439)

漏洞类型代码注入发现时间 2023-11-15 漏洞等级高危 MPS编号 MPS-z7l2-u3tm CVE编号 CVE-2023-36439 漏洞影响广度广漏洞危害 OSCS 描述 Microsoft Exchange Server 是微软公司开发的一款邮件服务器。 Microsoft Exchange Server 受影响版本中，具有普通用户权…

2023年11月16日
00
漏洞

vCenter Server 远程代码执行漏洞 (CVE-2023-34048)

漏洞类型越界写入发现时间 2023-10-26 漏洞等级严重 MPS编号 MPS-b28s-4xal CVE编号 CVE-2023-34048 漏洞影响广度一般漏洞危害 OSCS 描述 vCenter Server是一种虚拟化管理软件，用于集中管理和监控VMware虚拟化环境中的多个虚拟机和主机。DCERPC协议是一种远程过程调用协议，能使处于同一…

2023年10月26日
00
漏洞

Apache James Server JMX端点暴露反序列化漏洞 (CVE-2023-51518)

漏洞类型反序列化发现时间 2024-02-27 漏洞等级低危 MPS编号 MPS-f8st-hpv7 CVE编号 CVE-2023-51518 漏洞影响广度一般漏洞危害 OSCS 描述 Apache James 提供在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器。 Apache James 服务器中 JMX 端点在认证前对未经验证的数据…

2024年2月28日
00
漏洞

腾讯QQ Windows版客户端1-click远程代码执行风险 (MPS-0z86-njh3) [有POC]

漏洞类型从非可信控制范围包含功能例程发现时间 2023-08-21 漏洞等级高危 MPS编号 MPS-0z86-njh3 CVE编号 – 漏洞影响广度广漏洞危害 OSCS 描述 QQ 是一个多平台即时通信软件。QQ Windows版客户端 9.7.15之前版本中存在逻辑设计缺陷，当消息中包含引用的文件时，直接点击即完成下载和打开操作，缺…

2023年8月22日
00
漏洞

Argo CD 集群密钥泄漏风险 (CVE-2023-40029)

漏洞类型未授权敏感信息泄露发现时间 2023-09-08 漏洞等级严重 MPS编号 MPS-jby0-dvsh CVE编号 CVE-2023-40029 漏洞影响广度广漏洞危害 OSCS 描述 Argo CD 是用于 Kubernetes 的声明性 GitOps 持续交付工具，Kubernetes 集群密钥存储在 kubectl.kubernete…

2023年9月11日
00