Apache DolphinScheduler两个严重漏洞(CVE-2020-11974、CVE-2020-13922)

2020-09-10 19:23:23
Apache DolphinScheduler 组件的两个漏洞可导致RCE和权限提升。
CVE-2020-11974|Apache DolphinScheduler远程执行代码漏洞

漏洞描述:
在选择mysql作为数据库时,它与mysql connectorj远程执行代码漏洞有关,详细信息请参考:https://securityonline.info/mysql-connectorj-remote-code-execution-vulnerability/ 

攻击者可以
通过jdbc connect参数输入
{"detectCustomCollations":true,"autoDeserialize":true} 在DolphinScheduler 服务器中远程执行代码。


漏洞等级:重要


受影响的软件:
Apache DolphinScheduler  1.2.0  1.2.1

安全版本:
Apache DolphinScheduler >= 1.3.1 

参考链接:
https://lists.apache.org/thread.html/rcbe4c248ef0c566e99fd19388a6c92aeef88167286546b675e9b1769%40%3Cdev.dolphinscheduler.apache.org%3E

CVE-2020-13922|Apache DolphinScheduler提权漏洞

漏洞描述:
发现的漏洞是任何租户下的普通用户都可以通过以下方式覆盖其他用户的密码
api interface /dolphinscheduler/users/update

漏洞等级:重要

受影响的软件:
Apache DolphinScheduler 1.2.0 1.2.1 .3.1

安全版本:
Apache DolphinScheduler >= 1.3.2


参考链接:

https://lists.apache.org/thread.html/rf52404d4318a080ef7c4942d8eea6ea27fb2eb9018b4d4037331c825%40%3Cdev.dolphinscheduler.apache.org%3E


腾讯安全专家建议用户升级相关组件到最新版本。

最新资讯