【漏洞通告】Apache DolphinScheduler高危漏洞（CVE-2020-11974、CVE-2020-13922）

yiyun

September 11, 2020

466views

5 comments

1186字数

网络安全

**<div class="tip inlineBlock success">**

TAG：Apache DolphinScheduler、CVE-2020-11974、CVE-2020-13922
漏洞危害：   攻击者利用漏洞，可实现权限提升与远程代码执行。
版本：1.0

**</div>**

**<div class="tip inlineBlock share">**

# **1：漏洞概述**

9月11日，绿盟科技监测到Apache软件基金会发布安全公告，修复了Apache DolphinScheduler权限覆盖漏洞（CVE-2020-13922）与Apache DolphinScheduler远程执行代码漏洞（CVE-2020-11974），CVE-2020-11974与mysql connectorj远程执行代码漏洞有关，在选择mysql作为数据库时，攻击者可通过jdbc connect参数输入{“detectCustomCollations”:true，“ autoDeserialize”:true} 在DolphinScheduler 服务器上远程执行代码。CVE-2020-13922导致普通用户可通过api interface在DolphinScheduler 系统中覆盖其他用户的密码：api interface /dolphinscheduler/users/update，请相关用户及时升级进行防护。

**</div>**

# 2：**影响范围**

Apache DolphinScheduler权限覆盖漏洞（CVE-2020-13922）

**受影响版本**

* Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1

**不受影响版本**

* Apache DolphinScheduler >= 1.3.2

Apache DolphinScheduler远程执行代码漏洞（CVE-2020-11974）

**受影响版本**

* Apache DolphinScheduler = 1.2.0、1.2.1

**不受影响版本**

* Apache DolphinScheduler >= 1.3.1

</div>

# 3漏洞防护

**官方升级**

目前官方已在最新版本中修复了此次的漏洞，请受影响的用户尽快升级版本至1.3.2进行防护。

官方下载链接：

https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html
</div>

本文作者： yiyun 文章标题：【漏洞通告】Apache DolphinScheduler高危漏洞（CVE-2020-11974、CVE-2020-13922）

本文地址：https://www.yiyunblog.cn/index.php/archives/344/

版权说明：若无注明，本文皆为“逸云日志”原创，转载请保留文章出处。

Last modification：September 12th, 2020 at 01:39 pm

如果觉得我的文章对你有用，请随意赞赏

天蓝
September 17th, 2020 at 01:20 pm

ヾ(≧∇≦*)ゝ

拾忆
September 15th, 2020 at 11:13 am

很好的文章

雨酷小窝
September 15th, 2020 at 07:49 am

OωO

石头
September 14th, 2020 at 12:01 pm

关注到不少用户不想升级，我们明天会发一个不升级的情况下如何避免漏洞被利用的应对，欢迎Apache DolphinScheduler社区-“海豚调度”

1. yiyun
  September 14th, 2020 at 12:06 pm
  
  @石头
  给大佬递茶，大佬喝茶