Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

漏洞类型 输入验证不恰当 发现时间 2024-02-24 漏洞等级 严重
MPS编号 MPS-t2ir-al41 CVE编号 CVE-2024-23320 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache Dolphinscheduler 是开源的分布式任务调度系统。
受影响版本中,由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤,攻击者可构造包含模版字符串(如:${cmd})或Unicode编码的恶意参数创建数据处理任务,当程序执行时会在服务器上执行任意可逃逸沙箱的 JavaScript 代码。
参考链接:https://www.oscs1024.com/hd/MPS-t2ir-al41

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dolphinscheduler:dolphinscheduler-master (-∞, 3.2.1) 升级 将 org.apache.dolphinscheduler:dolphinscheduler-master 升级至 3.2.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-t2ir-al41

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-t2ir-al41

https://nvd.nist.gov/vuln/detail/CVE-2024-23320

https://github.com/apache/dolphinscheduler/commit/ef9ed3db55cb1647886b06c2b2c6a5cfcdccfb5c

https://github.com/advisories/GHSA-rc6h-qwj9-2c53

(0)
上一篇 2024年2月23日 下午12:00
下一篇 2024年2月27日 下午2:00

相关推荐

  • mysql2<3.9.7 代码注入漏洞 (CVE-2024-21511)

    漏洞类型 代码注入 发现时间 2024-04-23 漏洞等级 严重 MPS编号 MPS-c0j3-khva CVE编号 CVE-2024-21511 漏洞影响广度 广 漏洞危害 OSCS 描述 mysql2 是用于操作 MySQL 数据库的高性能Node.js库,可兼容 Node MySQL API、并提供预编译语句、扩展编码等功能。 受影响版本的 read…

    漏洞 2024年4月24日
    0
  • WinRAR<6.23 远程代码执行漏洞 (CVE-2023-40477) [有POC]

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-5gjf-qwc6 CVE编号 CVE-2023-40477 漏洞影响广度 广 漏洞危害 OSCS 描述 WinRAR 是一款适用于 Windows 系统的压缩包管理器,其恢复卷功能用于修复损坏或丢失的压缩文件数据。 WinRAR 6.23之前版本的恢复卷功能未对用户提供…

    2023年8月22日
    0
  • Mlflow Jinja2 模版注入漏洞 (CVE-2023-6940)

    漏洞类型 命令注入 发现时间 2023-12-20 漏洞等级 严重 MPS编号 MPS-qdjk-tr3g CVE编号 CVE-2023-6940 漏洞影响广度 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 MLflow受影响版本中存在模版注入漏洞。在render_and_merge_yaml方法中,该函数用于渲染和合并基…

    2023年12月21日
    0
  • Glibc ld.so 本地权限提升漏洞【POC公开】 (CVE-2023-4911)

    漏洞类型 越界写入 发现时间 2023-10-08 漏洞等级 高危 MPS编号 MPS-9vzd-wc5f CVE编号 CVE-2023-4911 漏洞影响广度 广 漏洞危害 OSCS 描述 Glibc 是GNU项目中的标准C库,为程序提供核心库功能和系统调用封装。 由于 Glibc 的 GNU C 库中的动态加载程序 ld.so 在处理 GLIBC_TUN…

    2023年10月9日
    0
  • vm2 <=3.9.19 远程代码执行漏洞(Promise 绕过) (CVE-2023-37466)

    漏洞类型 注入 发现时间 2023/7/14 漏洞等级 严重 MPS编号 MPS-dvto-znpx CVE编号 CVE-2023-37466 漏洞影响广度 广 漏洞危害 OSCS 描述 vm2 是一个基于 Node.js 的沙箱环境,Promise 对象用来处理异步代码。3.9.19 及之前版本中,Promise 处理程序的过滤机制可以被绕过,攻击者可通过…

    2023年8月31日
    0