Apache DolphinScheduler任意文件读取漏洞CVE-2022-26884

近日,我司监测到Apache发布安全公告,修复了一个存在于Apache DolphinScheduler中的安全漏洞,该漏洞由于log server对用户传入的日志路径没有进行有效过滤导致存在路径遍历漏洞,远程攻击者可利用此漏洞通过日志服务读取任意文件,从而获取系统敏感信息。

Apache DolphinScheduler是一个分布式去中心化,易扩展的可视化DAG工作流任务调度系统。致力 于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。

 

影响版本:

  • Apache DolphinScheduler < 2.0.6

 

安全版本:

  • Apache DolphinScheduler >= 2.0.6

 

修复建议:

官方已经针对漏洞发布了版本更新,下载地址如下:

https://dolphinscheduler.apache.org/en-us/download/download.html

发表评论

评论已关闭。

相关文章