CRITICAL🇬🇧 English

CVE-2024-43166

Nieprawidłowe domyślne uprawnienia w Apache DolphinScheduler

CVSS 9.8v3.1pub. 2025-09-03upd. 2025-11-04

Apache DolphinScheduler w wersjach przed 3.2.2 zawiera podatność klasy CWE-276 (Incorrect Default Permissions), polegającą na niewłaściwej konfiguracji domyślnych uprawnień. Podatność uzyskała ocenę CVSS 9.8 (Critical), co oznacza możliwość pełnego naruszenia poufności, integralności i dostępności systemu przez nieuwierzytelnionego atakującego zdalnie.

Pokaż oryginał (EN)

Incorrect Default Permissions vulnerability in Apache DolphinScheduler. This issue affects Apache DolphinScheduler: before 3.2.2. Users are recommended to upgrade to version 3.3.1, which fixes the issue.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym ustawieniu domyślnych uprawnień w oprogramowaniu Apache DolphinScheduler. Zgodnie z wektorem CVSS, exploit nie wymaga uwierzytelnienia ani interakcji użytkownika, a atak może być przeprowadzony zdalnie przez sieć. Nieprawidłowe uprawnienia mogą umożliwiać nieautoryzowany dostęp do zasobów lub operacji, które powinny być chronione.

Skutki

Atakujący może uzyskać pełen dostęp do systemu — naruszając poufność, integralność i dostępność danych — bez konieczności posiadania jakichkolwiek uprawnień czy poświadczeń.

Mitygacja

Należy niezwłocznie zaktualizować Apache DolphinScheduler do wersji 3.3.1, która zawiera poprawkę eliminującą podatność. Szczegóły dostępne są w referencjach producenta pod adresem: https://lists.apache.org/thread/8zd69zkkx55qp365xp4tml1xh9og5lhk

Kogo dotyczy

Apache DolphinScheduler w wersjach przed 3.2.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Dolphinscheduler

    APP
    Apache
    < 3.2.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-43202CRITICAL9.8PL ✓ten sam produkt

RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2023-49109CRITICAL9.8PL ✓ten sam produkt

RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2022-45875CRITICAL9.8ten sam produkt

Improper validation of script alert plugin parameters in Apache DolphinScheduler to avoid remote command execu...

CVE-2022-45462CRITICAL9.8ten sam produkt

Alarm instance management has command injection when there is a specific command configured. It is only for lo...

CVE-2020-11974CRITICAL9.8ten sam produkt

In DolphinScheduler 1.2.0 and 1.2.1, with mysql connectorj a remote code execution vulnerability exists when c...

CVE-2024-43166 — Nieprawidłowe domyślne uprawnienia w Apache DolphinScheduler — CRITICAL 9.8 | CVEbaza.pl