【漏洞预警】Apache DolphinScheduler 敏感信息泄漏CVE-2023-48796

cexlife 飓风网络安全 2023-11-27 22:26

产品简介:Apache DolphinScheduler(海豚调度),国人之光，是许多国人开源在Apache的顶级项目，主要功能就是负责任务的调度处理。Apache DolphinScheduler是一个分布式去中心化，易扩展的可视化DAG工作流任务调度系统。致力于解决数据处理流程中错综复杂的依赖关系，使调度系统在数据处理流程中开箱即用。****

漏洞描述：

Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。受影响版本中，由于没有限制暴露的端点，导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性，可能泄露数据库凭证信息。影响范围：org.apache.dolphinscheduler:dolphinscheduler-server[3.0.0, 3.0.2)org.apache.dolphinscheduler:dolphinscheduler-meter[3.0.0, 3.0.2)org.apache.dolphinscheduler:dolphinscheduler-api[3.0.0, 3.0.2)org.apache.dolphinscheduler:dolphinscheduler-alert[3.0.0, 3.0.2)修复方案：将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本在application.yaml中添加include: health,metrics,prometheus将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本参考链接：https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvohttps://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a