首页 > 关于安博通 > 新闻中心
【漏洞预警】Apache DolphinScheduler高危漏洞(CVE-2020-11974、CVE-2020-13922)
2020-09-14
39

一、漏洞概述


安博通检测到Apache软件基金会发布的安全公告,已修复Apache DolphinScheduler远程执行代码漏洞(CVE-2020-11974)和Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)。这两个漏洞可导致远程代码执行和权限提升。


CVE-2020-11974与mysql connection远程执行代码漏洞有关,当选择MySQL作为数据库时,攻击者可通过JDBC连接参数{"detectCustomCollations":true,"autoDeserialize":true}远程执行代码。详细信息请参考链接:

https://www.mail-archive.com/announce@apache.org/msg06077.html


CVE-2020-13922导致任何租户下的普通用户都可以通过API接口/dolphinscheduler/users/update覆盖其他用户的密码。详细信息请参考链接:

https://www.mail-archive.com/announce@apache.org/msg06076.html

 

二、影响范围

 

Apache DolphinScheduler远程执行代码漏洞(CVE-2020-11974)影响范围:Apache DolphinScheduler 1.2.0、1.2.1 。

 

Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)影响范围:Apache DolphinScheduler  1.2.0、1.2.1、1.3.1 。

 

三、修复建议

 

Apache DolphinScheduler 1.2.0、1.2.1、1.3.1用户需升级到1.3.2及以上版本。官方链接: 

https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html