0x00 漏洞概述
CVE ID | CVE-2022-26885 | 發現時間 | 2022-11-25 |
類 型 | 資訊洩露 | 等 級 | 高危 |
遠端利用 | 影響範圍 | ||
攻擊複雜度 | 使用者互動 | ||
PoC/EXP | 在野利用 |
0x01 漏洞詳情
Apache DolphinScheduler是具有強大 DAG 視覺化界面的分散式可擴展工作流排程器平臺,致力於解決資料管道中複雜的作業依賴,並提供開箱即用的各類作業。
11月24日,Apache發佈安全公告,修復了Apache DolphinScheduler中的一個資訊洩露漏洞(CVE-2022-26885)。
Apache DolphinScheduler 版本2.0.6之前,當使用tasks讀取配置檔案時,存在資料庫密碼洩露的風險,可能導致未授權訪問或執行惡意操作。
影響範圍
Apache DolphinScheduler 版本 < 2.0.6
0x02 安全建議
目前該漏洞已經修復,受影響的使用者可升級到以下版本:
Apache DolphinScheduler 版本 >= 2.0.6
下載連結:
https://github.com/apache/dolphinscheduler/tags
0x03 參考連結
https://lists.apache.org/thread/z7084r9cs2r26cszkkgjqpb5bhnxqssp
https://dolphinscheduler.apache.org/en-us/
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-11-25 | 首次發佈 |
