1. 墨知首页
  2. 漏洞

Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

漏洞
漏洞类型 输入验证不恰当 发现时间 2024-02-24 漏洞等级 严重
MPS编号 MPS-t2ir-al41 CVE编号 CVE-2024-23320 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache Dolphinscheduler 是开源的分布式任务调度系统。
受影响版本中,由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤,攻击者可构造包含模版字符串(如:${cmd})或Unicode编码的恶意参数创建数据处理任务,当程序执行时会在服务器上执行任意可逃逸沙箱的 JavaScript 代码。
参考链接:https://www.oscs1024.com/hd/MPS-t2ir-al41

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dolphinscheduler:dolphinscheduler-master (-∞, 3.2.1) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-master 升级至 3.2.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-t2ir-al41

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-t2ir-al41

https://nvd.nist.gov/vuln/detail/CVE-2024-23320

https://github.com/apache/dolphinscheduler/commit/ef9ed3db55cb1647886b06c2b2c6a5cfcdccfb5c

https://github.com/advisories/GHSA-rc6h-qwj9-2c53

(0)
上一篇 2024年2月23日 下午12:00
下一篇 2024年2月27日 下午2:00

相关推荐

  • Google Chrome<120.0.6099.199 存在堆缓冲区溢出漏洞 (CVE-2024-0223) 漏洞

    Google Chrome<120.0.6099.199 存在堆缓冲区溢出漏洞 (CVE-2024-0223)

    漏洞类型 堆缓冲区溢出 发现时间 2024-01-04 漏洞等级 高危 MPS编号 MPS-0xpr-q1kb CVE编号 CVE-2024-0223 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES …

    2024年1月5日
    0
  • Spring Security isFullyAuthenticated方法验证不当漏洞 (CVE-2024-22234) 漏洞

    Spring Security isFullyAuthenticated方法验证不当漏洞 (CVE-2024-22234)

    漏洞类型 访问控制不当 发现时间 2024-02-19 漏洞等级 中危 MPS编号 MPS-nwpz-uj03 CVE编号 CVE-2024-22234 漏洞影响广度 一般 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架,AuthenticationTrustResolver.isFullyAuthe…

    2024年2月20日
    0
  • Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678) 漏洞

    Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678)

    漏洞类型 输入验证不恰当 发现时间 2024-01-23 漏洞等级 高危 MPS编号 MPS-qxjm-zyb4 CVE编号 CVE-2024-23678 漏洞影响广度 一般 漏洞危害 OSCS 描述 Splunk 是一个机器数据引擎,用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk Enterprise for Win…

    2024年1月24日
    0
  • Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980) 漏洞

    Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980)

    漏洞类型 参数注入或修改 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-d5b7-omr9 CVE编号 CVE-2024-27980 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。 Windows 的 Create…

    2024年4月12日
    0
  • PowerJob 未授权访问漏洞 (CVE-2023-36106) 漏洞

    PowerJob 未授权访问漏洞 (CVE-2023-36106)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-08-18 漏洞等级 中危 MPS编号 MPS-st3c-aw5x CVE编号 CVE-2023-36106 漏洞影响广度 一般 漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做…

    2023年8月20日
    0