Plateforme
java
Composant
org.apache.dolphinscheduler:dolphinscheduler
Corrigé dans
3.2.0
3.2.0
Une vulnérabilité de Divulgation d'Informations Sensibles à un Acteur Non Autorisé a été découverte dans Apache DolphinScheduler. Cette faille permet à des acteurs malveillants d'accéder à des informations confidentielles, notamment les identifiants de base de données, compromettant potentiellement la sécurité et l'intégrité du système. La vulnérabilité affecte les versions 3.1.* d'Apache DolphinScheduler. La solution recommandée est de mettre à jour vers la version 3.2.0 ou supérieure.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des informations sensibles stockées dans la base de données d'Apache DolphinScheduler. Cela peut inclure des noms d'utilisateur, des mots de passe et d'autres données d'identification critiques. L'accès à ces informations pourrait permettre à l'attaquant de compromettre davantage le système, d'accéder à des données sensibles, de modifier des données ou d'exécuter du code malveillant. Le risque est particulièrement élevé si les identifiants de la base de données sont utilisés pour accéder à d'autres systèmes ou applications. Bien qu'il n'y ait pas de rapport direct d'exploitation publique, la divulgation d'informations d'identification de base de données est un vecteur d'attaque courant et peut entraîner des conséquences graves.
La vulnérabilité a été publiée le 9 avril 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une connaissance interne du système et de la configuration pour exploiter la faille. Il n'y a pas de Proof of Concept (POC) public connu à ce jour, mais la divulgation d'informations d'identification est une cible courante pour les attaquants. La vulnérabilité n'est pas répertoriée sur KEV ou EPSS à la date de publication.
Organizations utilizing Apache DolphinScheduler for workflow orchestration, particularly those running versions 3.1.0 through 3.1.9, are at risk. Shared hosting environments where DolphinScheduler instances are deployed alongside other applications are also particularly vulnerable due to the potential for cross-tenant access.
• linux / server:
journalctl -u dolphinscheduler-master -g "sensitive information"• generic web:
curl -I http://<dolphinscheduler_host>/management/ # Check for exposed endpointsdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Apache DolphinScheduler vers la version 3.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à restreindre l'exposition des points d'extrémité de gestion. Définissez la variable d'environnement MANAGEMENTENDPOINTSWEBEXPOSUREINCLUDE=health,metrics,prometheus. Cela limite l'accès aux points d'extrémité essentiels, réduisant ainsi la surface d'attaque. Il est également recommandé de surveiller les journaux d'accès pour détecter toute activité suspecte et de mettre en œuvre des contrôles d'accès stricts pour limiter l'accès aux points d'extrémité de gestion. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en accédant aux points d'extrémité de gestion et en vous assurant que les informations sensibles ne sont pas exposées.
Actualice a la versión 3.2.0 o posterior para evitar el acceso no autorizado a información sensible, incluyendo credenciales de la base de datos. Como medida temporal, restrinja el acceso a los endpoints de administración configurando la variable de entorno MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE o modificando el archivo application.yaml.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de divulgation d'informations sensibles dans Apache DolphinScheduler, permettant l'accès à des données confidentielles comme les identifiants de base de données.
Si vous utilisez Apache DolphinScheduler versions 3.1.x, vous êtes potentiellement affecté. La mise à jour vers 3.2.0 ou plus est recommandée.
La solution est de mettre à jour vers Apache DolphinScheduler version 3.2.0 ou supérieure. En attendant, restreignez l'exposition des points d'extrémité de gestion avec la variable d'environnement MANAGEMENTENDPOINTSWEBEXPOSUREINCLUDE.
Il n'y a pas de rapport d'exploitation publique connu à ce jour, mais la divulgation d'informations d'identification est une cible courante.
Consultez la documentation officielle d'Apache DolphinScheduler et les avis de sécurité pour plus de détails et les dernières mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.