CRITICAL🇬🇧 English

CVE-2024-43202

RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-08-20upd. 2025-03-18

Apache DolphinScheduler w wersjach przed 3.2.2 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Brak wymogu uwierzytelnienia oraz niski próg ataku sprawiają, że zagrożenie jest wyjątkowo poważne.

Pokaż oryginał (EN)

Exposure of Remote Code Execution in Apache Dolphinscheduler. This issue affects Apache DolphinScheduler: before 3.2.2. We recommend users to upgrade Apache DolphinScheduler to version 3.2.2, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność klasyfikowana jako CWE-94 (Improper Control of Generation of Code) pozwala atakującemu na zdalne wstrzyknięcie i wykonanie dowolnego kodu na serwerze. Atak może zostać przeprowadzony przez sieć bez konieczności posiadania konta ani interakcji ze strony użytkownika. Szczegółowy mechanizm eksploatacji nie został ujawniony w opisie producenta.

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym serwerem, w tym dostęp do poufnych danych, modyfikację konfiguracji oraz potencjalnie lateral movement w obrębie sieci wewnętrznej.

Mitygacja

Należy niezwłocznie zaktualizować Apache DolphinScheduler do wersji 3.2.2, która eliminuje opisaną podatność. Szczegółowe informacje dostępne są w referencjach producenta.

Kogo dotyczy

Apache DolphinScheduler we wszystkich wersjach przed 3.2.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Dolphinscheduler

    APP
    Apache
    3.0.0 – 3.2.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-43166CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowe domyślne uprawnienia w Apache DolphinScheduler

CVE-2023-49109CRITICAL9.8PL ✓ten sam produkt

RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia

CVE-2022-45875CRITICAL9.8ten sam produkt

Improper validation of script alert plugin parameters in Apache DolphinScheduler to avoid remote command execu...

CVE-2022-45462CRITICAL9.8ten sam produkt

Alarm instance management has command injection when there is a specific command configured. It is only for lo...

CVE-2020-11974CRITICAL9.8ten sam produkt

In DolphinScheduler 1.2.0 and 1.2.1, with mysql connectorj a remote code execution vulnerability exists when c...

CVE-2024-43202 — RCE w Apache DolphinScheduler — zdalne wykonanie kodu bez uwierzytelnienia — CRITICAL 9.8 | CVEbaza.pl