CVE编号
CVE-2020-11974利用情况
POC 已公开补丁情况
官方补丁披露时间
2020-12-19漏洞描述
Apache软件基金会发布安全公告,修复了Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)与Apache DolphinScheduler远程执行代码漏洞(CVE-2020-11974)。 CVE-2020-11974与mysql connectorj远程执行代码漏洞有关,在选择mysql作为数据库时,攻击者可通过jdbc connect参数输入{“detectCustomCollations”:true,“ autoDeserialize”:true} 在DolphinScheduler 服务器上远程执行代码。 CVE-2020-13922导致普通用户可通过api interface在DolphinScheduler 系统中覆盖其他用户的密码:api interface /dolphinscheduler/users/update,请相关用户及时升级进行防护。解决建议
官方升级 目前官方已在最新版本中修复了此次的漏洞,请受影响的用户尽快升级版本至1.3.2进行防护。官方下载链接: https://dolphinscheduler.apache.org/zhcn/docs/release/download.html
参考链接 |
|
|---|---|
| https://lists.apache.org/thread.html/r0de5e3d5516467c9429a8d4356eca17ccf15633... | |
| https://lists.apache.org/thread.html/r33452d7b99a293bcf8f3e4bd664943847e2602e... | |
| https://lists.apache.org/thread.html/r9fbe24539a873032b3e41243d44a730d6a2aae2... | |
| https://lists.apache.org/thread.html/ra81adacbfdd6f166f9cf155340674ffd4179386... | |
| https://lists.apache.org/thread.html/rcbe4c248ef0c566e99fd19388a6c92aeef88167... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | dolphinscheduler | 1.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | dolphinscheduler | 1.2.1 | - | |||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 管控权限
- 影响范围 全局影响
- EXP成熟度 POC 已公开
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 服务器失陷
- 全网数量 N/A
还没有评论,来说两句吧...