2024年2月24日,网上公开披露了一个Apache DolphinScheduler<3.2.1 任意代码执行漏洞(CVE-2024-23320),Apache Dolphinscheduler 是开源的分布式任务调度系统,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,由于 SwitchTaskUtils #generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤,攻击者可构造包含模版字符串(如:${cmd})或Unicode编码的恶意参数创建数据处理任务,当程序执行时会在服务器上执行任意可逃逸沙箱的 JavaScript 代码。
风险等级:高风险。
影响范围:
org.apache.dolphinscheduler:dolphinscheduler-master@(-∞, 3.2.1)
修复建议:
org.apache.dolphinscheduler:dolphinscheduler-master 升级至 3.2.1 及以上版本
