2023年1月2日,网上公开披露了一个标注为代码注入的Apache DolphinScheduler<3.1.9 任意代码执行漏洞(CVE-2023-49299),Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台,请各位用户尽快安装漏洞补丁。
漏洞风险: Apache DolphinScheduler 3.1.9之前版本中,由于SwitchTaskUtils#evaluate方法未对用户可控的 expression 参数进行校验,经过身份验证的攻击者可在创建任务时传入恶意的任务内容,在服务端以 root 身份执行可逃逸沙箱的任意 js 代码。
风险等级:高风险。
影响范围:
org.apache.dolphinscheduler:dolphinscheduler-master@[3.0.0, 3.1.9)
修复建议:
org.apache.dolphinscheduler:dolphinscheduler-master 升级至 3.1.9 及以上版本
进行安全更新方法:
https://github.com/apache/dolphinscheduler/commit/d1ef54f6a851e64525f1078887520394e553b6e8
