1. 墨知首页
  2. 漏洞

Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796)

漏洞
漏洞类型 未授权敏感信息泄露 发现时间 2023-11-24 漏洞等级 高危
MPS编号 MPS-p9et-w8rl CVE编号 CVE-2023-48796 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。
受影响版本中,由于没有限制暴露的端点,导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性,可能泄露数据库凭证信息。

参考链接:https://www.oscs1024.com/hd/MPS-p9et-w8rl

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dolphinscheduler:dolphinscheduler-alert [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-meter [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-api [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
org.apache.dolphinscheduler:dolphinscheduler-server [3.0.0, 3.0.2) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本
缓解措施 在application.yaml中添加include: health,metrics,prometheus
参考链接:https://www.oscs1024.com/hd/MPS-p9et-w8rl

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p9et-w8rl

https://nvd.nist.gov/vuln/detail/CVE-2023-48796

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a

(0)
上一篇 2023年11月23日 下午8:00
下一篇 2023年11月26日 下午2:00

相关推荐

  • Helm < 3.14.1 路径遍历漏洞 (CVE-2024-25620) 漏洞

    Helm < 3.14.1 路径遍历漏洞 (CVE-2024-25620)

    漏洞类型 路径遍历 发现时间 2024-02-15 漏洞等级 中危 MPS编号 MPS-2si9-mtja CVE编号 CVE-2024-25620 漏洞影响广度 广 漏洞危害 OSCS 描述 Helm 是一个用于管理 Charts 的工具。Charts 是预配置的 Kubernetes 资源的包。 Helm 客户端或 SDK 在保存 Chart 目录时未验…

    2024年2月16日
    0
  • amqp-client 拒绝服务漏洞 (CVE-2023-46120) 漏洞

    amqp-client 拒绝服务漏洞 (CVE-2023-46120)

    漏洞类型 拒绝服务 发现时间 2023-10-24 漏洞等级 中危 MPS编号 MPS-sqnw-9vcz CVE编号 CVE-2023-46120 漏洞影响广度 一般 漏洞危害 OSCS 描述 amqp-client是一款RabbitMQ的,基于Java语言的AMQP(高级消息队列协议)客户端库。由于缺少最大消息限制,攻击者发送一个大于消费者内存的消息时,…

    2023年10月24日
    0
  • Apache Airflow信息泄漏漏洞 (CVE-2023-45348) 漏洞

    Apache Airflow信息泄漏漏洞 (CVE-2023-45348)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-10-14 漏洞等级 高危 MPS编号 MPS-ovuh-jial CVE编号 CVE-2023-45348 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow是一个开源的、分布式的任务调度和工作流自动化平台,可用于编排、调度和监控数据处理任务和数据流。”expose_co…

    2023年10月16日
    0
  • 用友 U8 Cloud、GRP-U8、A++V8.31存在多个高危漏洞 漏洞

    用友 U8 Cloud、GRP-U8、A++V8.31存在多个高危漏洞

    漏洞类型 注入 发现时间 2023/5/17 漏洞等级 高危 MPS编号 MPS-u37w-cdit CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 用友 U8 Cloud、GRP-U8 是用友软件公司开发的提供企业资源管理解决方案的产品。用友 U8 Cloud 存在3个高危漏洞,分别为LoggingConfigServlet反序列化…

    2023年8月31日
    0
  • Apache Allura 信息泄漏导致会话劫持 (CVE-2023-46851) 漏洞

    Apache Allura 信息泄漏导致会话劫持 (CVE-2023-46851)

    漏洞类型 文件名或路径的外部可控制 发现时间 2023-11-07 漏洞等级 高危 MPS编号 MPS-yx6s-dke7 CVE编号 CVE-2023-46851 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Allura是美国阿帕奇(Apache)软件基金会的一套开源项目托管平台。该平台支持管理源代码存储库、错误报告、维基页面和博客等。 由…

    2023年11月8日
    0