北京赛克艾威科技有限公司 2023-11-27
近日,赛克艾威网络安全实验室监测到Apache DolphinScheduler存在信息泄露漏洞情报。受影响版本中,由于没有限制暴露的端点,导致所有端点全部暴露,未经授权的攻击者可以通过访问其他端点获取获取敏感数据。
如访问/actuator/configprops端点查看所有配置属性,可能泄露数据库凭证信息,攻击者可以通过凭证获得对底层数据库的访问权限,损害系统的完整性和安全性。
3.0.0 <= Apache DolphinScheduler < 3.0.2
目前官方已发布漏洞修复版本,建议用户升级到安全版本:
https://dolphinscheduler.apache.org/