Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

2024年2月26日下午12:00 • 漏洞

漏洞类型	输入验证不恰当	发现时间	2024-02-24	漏洞等级	严重
MPS编号	MPS-t2ir-al41	CVE编号	CVE-2024-23320	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache Dolphinscheduler 是开源的分布式任务调度系统。
受影响版本中，由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤，攻击者可构造包含模版字符串(如：${cmd})或Unicode编码的恶意参数创建数据处理任务，当程序执行时会在服务器上执行任意可逃逸沙箱的 JavaScript 代码。
参考链接：https://www.oscs1024.com/hd/MPS-t2ir-al41

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
org.apache.dolphinscheduler:dolphinscheduler-master (-∞, 3.2.1)	升级	将 org.apache.dolphinscheduler:dolphinscheduler-master 升级至 3.2.1 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-t2ir-al41

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-t2ir-al41

https://nvd.nist.gov/vuln/detail/CVE-2024-23320

https://github.com/apache/dolphinscheduler/commit/ef9ed3db55cb1647886b06c2b2c6a5cfcdccfb5c

https://github.com/advisories/GHSA-rc6h-qwj9-2c53

CVE-2024-23320 漏洞

赞 (0)

GitLab 16.9存储型XSS漏洞 (CVE-2024-1451)

上一篇 2024年2月23日下午12:00

LangChain langchain-experimental 任意代码执行 (CVE-2024-27444)

下一篇 2024年2月27日下午2:00

漏洞

Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

漏洞类型关键功能的认证机制缺失发现时间 2023-11-08 漏洞等级中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度一般漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台，它提供了许多功能，包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

2023年11月8日
00
漏洞

NPM组件 acronis-platform-configs 等窃取主机敏感信息

【高危】NPM组件 acronis-platform-configs 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 acronis-platform-configs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-xfem-1i7s 处置建议强烈建议修复发现时间 2025-07-2…

2025年7月27日
00
漏洞

NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞

【严重】NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞漏洞描述 NVIDIA Container Toolkit 是用于在容器中启用 GPU 加速计算的官方工具集，支持 NVIDIA 显卡驱动与 CUDA 环境的集成运行。受漏洞影响版本中，NVIDIA Container Toolkit 中的 hook 初始化机制存…

2025年7月19日
00
漏洞

PyPI仓库 iscc-flag 组件内嵌恶意木马

【高危】PyPI仓库 iscc-flag 组件内嵌恶意木马漏洞描述当用户安装受影响版本的 iscc-flag Python组件包时会下载恶意木马 run.bat，窃取Windows系统敏感信息并进行远控。 MPS编号 MPS-7d9y-rvtn 处置建议强烈建议修复发现时间 2025-07-16 投毒仓库 pip 投毒类型主机信息收集、后门文件利…

2025年7月17日
00
漏洞

Chrome拓展 Video Speed Controller 等内嵌恶意后门

【高危】Chrome拓展 Video Speed Controller 等内嵌恶意后门漏洞描述当用户安装受影响版本的 Video Speed Controller 等Chrome拓展会窃取用户的浏览链接，并与攻击者可控的C2地址建立持久化连接，攻击者可将用户浏览器重定向到恶意网站。 MPS编号 MPS-nk5f-xi4w 处置建议强烈建议修复发现时间…

2025年7月10日
00