【漏洞通告】Apache DolphinScheduler命令執行漏洞(CVE-2022-45462)

0x00 漏洞概述

CVE ID

CVE-2022-45462

發現時間

2022-11-23

類 型

命令注入

等 級

中危

遠端利用

影響範圍

攻擊複雜度

使用者互動

PoC/EXP

在野利用

0x01 漏洞詳情

Apache DolphinScheduler是具有強大 DAG 視覺化界面的分散式可擴展工作流排程器平臺,致力於解決資料管道中複雜的作業依賴,並提供開箱即用的各類作業。

11月22日,Apache發佈安全公告,修復了Apache DolphinScheduler中的一個命令執行漏洞(CVE-2022-45462)。

Apache DolphinScheduler 2.0.5之前,當配置了特定命令時,報警實例管理存在命令注入漏洞,已登入的使用者可利用該漏洞執行惡意命令。

影響範圍

Apache DolphinScheduler 版本 < 2.0.5

0x02 安全建議

目前該漏洞已經修復,受影響的使用者可升級到以下版本:

Apache DolphinScheduler 版本 >= 2.0.6

下載連結:

https://github.com/apache/dolphinscheduler/tags

0x03 參考連結

https://www.mail-archive.com/announce@apache.org/msg07757.html

https://dolphinscheduler.apache.org/en-us/

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-11-24

首次發佈

相關文章