中危 Apache DolphinScheduler JDBC反序列化

CVE编号

CVE-2020-11974

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2020-12-19

漏洞描述

Apache软件基金会发布安全公告，修复了Apache DolphinScheduler权限覆盖漏洞（CVE-2020-13922）与Apache DolphinScheduler远程执行代码漏洞（CVE-2020-11974）。 CVE-2020-11974与mysql connectorj远程执行代码漏洞有关，在选择mysql作为数据库时，攻击者可通过jdbc connect参数输入{“detectCustomCollations”:true，“ autoDeserialize”:true} 在DolphinScheduler 服务器上远程执行代码。 CVE-2020-13922导致普通用户可通过api interface在DolphinScheduler 系统中覆盖其他用户的密码：api interface /dolphinscheduler/users/update，请相关用户及时升级进行防护。

解决建议

官方升级 目前官方已在最新版本中修复了此次的漏洞，请受影响的用户尽快升级版本至1.3.2进行防护。官方下载链接： https://dolphinscheduler.apache.org/zhcn/docs/release/download.html

参考链接
https://lists.apache.org/thread.html/r0de5e3d5516467c9429a8d4356eca17ccf15633...
https://lists.apache.org/thread.html/r33452d7b99a293bcf8f3e4bd664943847e2602e...
https://lists.apache.org/thread.html/r9fbe24539a873032b3e41243d44a730d6a2aae2...
https://lists.apache.org/thread.html/ra81adacbfdd6f166f9cf155340674ffd4179386...
https://lists.apache.org/thread.html/rcbe4c248ef0c566e99fd19388a6c92aeef88167...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	dolphinscheduler	1.2.0	-
	运行在以下环境
	应用	apache	dolphinscheduler	1.2.1	-

阿里云评分 6.8

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 管控权限
• 影响范围 全局影响
• EXP成熟度 POC 已公开
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-94	对生成代码的控制不恰当（代码注入）
NVD-CWE-noinfo

Exp相关链接

• https://github.com/nosafer/nosafer.github.io/blob/227a05f5eff69d32a027f15d6106c6d735124659/docs/Web%E5%AE%89%E5%85%A8/Apache%20DolphinScheduler/%EF%BC%88CVE-2020-11974%EF%BC%89Apache%20DolphinScheduler%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E.md

- avd.aliyun.com