【漏洞通告】Apache DolphinScheduler資訊洩露漏洞(CVE-2022-26885)

0x00 漏洞概述

CVE ID

CVE-2022-26885

發現時間

2022-11-25

類 型

資訊洩露

等 級

高危

遠端利用

影響範圍

攻擊複雜度

使用者互動

PoC/EXP

在野利用

0x01 漏洞詳情

Apache DolphinScheduler是具有強大 DAG 視覺化界面的分散式可擴展工作流排程器平臺,致力於解決資料管道中複雜的作業依賴,並提供開箱即用的各類作業。

11月24日,Apache發佈安全公告,修復了Apache DolphinScheduler中的一個資訊洩露漏洞(CVE-2022-26885)。

Apache DolphinScheduler 版本2.0.6之前,當使用tasks讀取配置檔案時,存在資料庫密碼洩露的風險,可能導致未授權訪問或執行惡意操作。

影響範圍

Apache DolphinScheduler 版本 < 2.0.6

0x02 安全建議

目前該漏洞已經修復,受影響的使用者可升級到以下版本:

Apache DolphinScheduler 版本 >= 2.0.6

下載連結:

https://github.com/apache/dolphinscheduler/tags

0x03 參考連結

https://lists.apache.org/thread/z7084r9cs2r26cszkkgjqpb5bhnxqssp

https://dolphinscheduler.apache.org/en-us/

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-11-25

首次發佈

相關文章