CRITICAL🇬🇧 English

CVE-2023-49109

RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-02-20upd. 2025-03-18

Apache DolphinScheduler w wersjach przed 3.2.1 zawiera podatność klasy RCE (Remote Code Execution) umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Krytyczny wynik CVSS 9.8 wskazuje na bardzo wysokie ryzyko dla systemów orkiestracji zadań opartych na tym oprogramowaniu.

Pokaż oryginał (EN)

Exposure of Remote Code Execution in Apache Dolphinscheduler. This issue affects Apache DolphinScheduler: before 3.2.1. We recommend users to upgrade Apache DolphinScheduler to version 3.2.1, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Improper Control of Generation of Code) polega na możliwości wstrzyknięcia i wykonania złośliwego kodu po stronie serwera. Atakujący może wywołać podatny mechanizm zdalnie, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika (wektor AV:N/AC:L/PR:N/UI:N). Szczegółowy mechanizm wyzwalania opisany jest w poprawce dostępnej w repozytorium projektu (pull request #14991).

Skutki

Pomyślne wykorzystanie podatności daje atakującemu pełną kontrolę nad systemem — możliwość odczytu i modyfikacji danych oraz zakłócenia dostępności usługi (C:H/I:H/A:H). W środowiskach produkcyjnych może to oznaczać kompromitację całej infrastruktury orkiestracji procesów i potoków danych.

Mitygacja

Należy niezwłocznie zaktualizować Apache DolphinScheduler do wersji 3.2.1, która zawiera poprawkę eliminującą podatność. Zalecenie pochodzi bezpośrednio od producenta.

Kogo dotyczy

Apache DolphinScheduler we wszystkich wersjach przed 3.2.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Dolphinscheduler

    APP
    Apache
    3.0.0 – 3.2.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-43166CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowe domyślne uprawnienia w Apache DolphinScheduler

CVE-2024-43202CRITICAL9.8PL ✓ten sam produkt

RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2022-45875CRITICAL9.8ten sam produkt

Improper validation of script alert plugin parameters in Apache DolphinScheduler to avoid remote command execu...

CVE-2022-45462CRITICAL9.8ten sam produkt

Alarm instance management has command injection when there is a specific command configured. It is only for lo...

CVE-2020-11974CRITICAL9.8ten sam produkt

In DolphinScheduler 1.2.0 and 1.2.1, with mysql connectorj a remote code execution vulnerability exists when c...