Apache DolphinScheduler<3.1.9 任意代码执行漏洞(CVE-2023-49299)
CVE编号
CVE-2023-49299利用情况
暂无补丁情况
N/A披露时间
2023-12-31漏洞描述
Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。 Apache DolphinScheduler 3.1.9之前版本中,由于 SwitchTaskUtils#evaluate 方法未对用户可控的 expression 参数进行校验,经过身份验证的攻击者可在创建任务时传入恶意的任务内容,在服务端以 root 身份执行可逃逸沙箱的任意 js 代码。解决建议
"将 org.apache.dolphinscheduler:dolphinscheduler-master 升级至 3.1.9 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/apache/dolphinscheduler/pull/15228 | |
| https://lists.apache.org/thread/tnf99qoc6tlnwrny4t1zk6mfszgdsokm |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-20 | 输入验证不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论