0x00 漏洞概述
CVE ID | CVE-2022-45462 | 發現時間 | 2022-11-23 |
類 型 | 命令注入 | 等 級 | 中危 |
遠端利用 | 影響範圍 | ||
攻擊複雜度 | 使用者互動 | ||
PoC/EXP | 在野利用 |
0x01 漏洞詳情
Apache DolphinScheduler是具有強大 DAG 視覺化界面的分散式可擴展工作流排程器平臺,致力於解決資料管道中複雜的作業依賴,並提供開箱即用的各類作業。
11月22日,Apache發佈安全公告,修復了Apache DolphinScheduler中的一個命令執行漏洞(CVE-2022-45462)。
Apache DolphinScheduler 2.0.5之前,當配置了特定命令時,報警實例管理存在命令注入漏洞,已登入的使用者可利用該漏洞執行惡意命令。
影響範圍
Apache DolphinScheduler 版本 < 2.0.5
0x02 安全建議
目前該漏洞已經修復,受影響的使用者可升級到以下版本:
Apache DolphinScheduler 版本 >= 2.0.6
下載連結:
https://github.com/apache/dolphinscheduler/tags
0x03 參考連結
https://www.mail-archive.com/announce@apache.org/msg07757.html
https://dolphinscheduler.apache.org/en-us/
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-11-24 | 首次發佈 |
