1. 墨知首页
  2. 漏洞

Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

漏洞
漏洞类型 输入验证不恰当 发现时间 2024-02-24 漏洞等级 严重
MPS编号 MPS-t2ir-al41 CVE编号 CVE-2024-23320 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache Dolphinscheduler 是开源的分布式任务调度系统。
受影响版本中,由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤,攻击者可构造包含模版字符串(如:${cmd})或Unicode编码的恶意参数创建数据处理任务,当程序执行时会在服务器上执行任意可逃逸沙箱的 JavaScript 代码。
参考链接:https://www.oscs1024.com/hd/MPS-t2ir-al41

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dolphinscheduler:dolphinscheduler-master (-∞, 3.2.1) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-master 升级至 3.2.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-t2ir-al41

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-t2ir-al41

https://nvd.nist.gov/vuln/detail/CVE-2024-23320

https://github.com/apache/dolphinscheduler/commit/ef9ed3db55cb1647886b06c2b2c6a5cfcdccfb5c

https://github.com/advisories/GHSA-rc6h-qwj9-2c53

(0)
上一篇 2024年2月23日 下午12:00
下一篇 2024年2月27日 下午2:00

相关推荐

  • Apache DolphinScheduler<3.1.9 任意代码执行漏洞 (CVE-2023-49299) 漏洞

    Apache DolphinScheduler<3.1.9 任意代码执行漏洞 (CVE-2023-49299)

    漏洞类型 代码注入 发现时间 2023-12-29 漏洞等级 高危 MPS编号 MPS-v3pc-s24l CVE编号 CVE-2023-49299 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。 Apache DolphinScheduler 3.1.9之前版本…

    2023年12月30日
    0
  • Google Chrome<120.0.6099.199 存在释放后使用漏洞 (CVE-2024-0222) 漏洞

    Google Chrome<120.0.6099.199 存在释放后使用漏洞 (CVE-2024-0222)

    漏洞类型 UAF 发现时间 2024-01-04 漏洞等级 高危 MPS编号 MPS-ler0-8tok CVE编号 CVE-2024-0222 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES 和 V…

    2024年1月5日
    0
  • Kyverno 镜像摘要验证不当 (CVE-2023-47630) 漏洞

    Kyverno 镜像摘要验证不当 (CVE-2023-47630)

    漏洞类型 对数据真实性的验证不充分 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-pahu-invz CVE编号 CVE-2023-47630 漏洞影响广度 小 漏洞危害 OSCS 描述 Kyverno是专为Kubernetes设计的策略引擎。 由于Kyverno的策略引擎涉及从容器镜像仓库中拉取镜像,并且没有验证镜像的来源。攻击者可以…

    2023年11月16日
    0
  • NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞 漏洞

    NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞

    【严重】NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞 漏洞描述 NVIDIA Container Toolkit 是用于在容器中启用 GPU 加速计算的官方工具集,支持 NVIDIA 显卡驱动与 CUDA 环境的集成运行。受漏洞影响版本中,NVIDIA Container Toolkit 中的 hook 初始化机制存…

    2025年7月21日
    0
  • MarkText<=0.17.1 存在DOM型XSS漏洞 (CVE-2023-2318) [有POC] 漏洞

    MarkText<=0.17.1 存在DOM型XSS漏洞 (CVE-2023-2318) [有POC]

    漏洞类型 XSS 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-uvas-0cn2 CVE编号 CVE-2023-2318 漏洞影响广度 广 漏洞危害 OSCS 描述 MarkText 是热门的开源Markdown编辑器,覆盖Windows/Linux/MacOS平台。 MarkText 0.17.1及之前版本中的 pasteCtrl …

    2023年8月22日
    0