电子游戏厅

  • <ruby id="yraxc"><i id="yraxc"></i></ruby>
    <acronym id="yraxc"></acronym>

    <optgroup id="yraxc"></optgroup>
    首頁 > 關于安博通 > 新聞中心
    【漏洞預警】Apache DolphinScheduler高危漏洞(CVE-2020-11974、CVE-2020-13922)
    2020-09-14
    33

    一、漏洞概述


    安博通檢測到Apache軟件基金會發布的安全公告,已修復Apache DolphinScheduler遠程執行代碼漏洞(CVE-2020-11974)和Apache DolphinScheduler權限覆蓋漏洞(CVE-2020-13922)。這兩個漏洞可導致遠程代碼執行和權限提升。


    CVE-2020-11974與mysql connection遠程執行代碼漏洞有關,當選擇MySQL作為數據庫時,攻擊者可通過JDBC連接參數{"detectCustomCollations":true,"autoDeserialize":true}遠程執行代碼。詳細信息請參考鏈接:

    https://www.mail-archive.com/announce@apache.org/msg06077.html


    CVE-2020-13922導致任何租戶下的普通用戶都可以通過API接口/dolphinscheduler/users/update覆蓋其他用戶的密碼。詳細信息請參考鏈接:

    https://www.mail-archive.com/announce@apache.org/msg06076.html

     

    二、影響范圍

     

    Apache DolphinScheduler遠程執行代碼漏洞(CVE-2020-11974)影響范圍:Apache DolphinScheduler 1.2.0、1.2.1 。

     

    Apache DolphinScheduler權限覆蓋漏洞(CVE-2020-13922)影響范圍:Apache DolphinScheduler  1.2.0、1.2.1、1.3.1 。

     

    三、修復建議

     

    Apache DolphinScheduler 1.2.0、1.2.1、1.3.1用戶需升級到1.3.2及以上版本。官方鏈接: 

    https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html

    电子游戏厅