一个影响 Apache DolphinScheduler 默认权限系统的严重安全漏洞已被识别并修补，促使 Apache 软件基金会提出紧急更新建议。

该漏洞源于流行的工作流调度平台中过于宽松的默认配置，允许未经授权的用户在没有适当身份验证控制的情况下执行任意工作流并访问敏感的系统资源。

该缺陷是通过平台的初始化过程出现的，其中默认管理权限无意中授予了新创建的用户帐户。

这种架构疏忽为试图破坏数据处理管道并在企业环境中执行未经授权的代码的恶意行为者创造了重要的攻击媒介。

利用 DolphinScheduler 进行关键工作流程自动化的组织会立即面临数据泄露和系统泄露的风险。

初步报告表明，该漏洞已经在有限的情况下被利用，攻击者利用权限绕过将恶意工作流程注入生产环境。

Apache 分析师在例行安全审计过程中发现了该漏洞，发现默认用户角色分配机制未能正确限制管理功能。

利用机制和代码分析

该漏洞利用了用户身份验证模块中的一个缺陷，其中默认权限是通过以下有问题的代码模式分配的：

public void createDefaultUser() {
    User defaultUser = new User();
    defaultUser.setUserType(UserType.ADMIN_USER);
    defaultUser.setPermissions(Permission.ALL);
    userMapper.insert(defaultUser);
}

此初始化例程会自动分配管理权限，而无需验证用户凭据或实施适当的访问控制。

攻击者可以通过在系统初始化阶段创建新帐户来利用这一点，有效地不受限制地访问工作流管理功能和底层系统资源。

Apache 开发团队发布了 3.2.1 版，具有增强的权限验证和默认安全配置，解决了这一严重安全漏洞的根本原因。