प्लेटफ़ॉर्म
java
घटक
org.apache.dolphinscheduler:dolphinscheduler
में ठीक किया गया
3.2.0
3.2.0
CVE-2025-62188 describes an Information Disclosure vulnerability within Apache DolphinScheduler. This flaw allows unauthorized actors to potentially access sensitive information, such as database credentials. The vulnerability impacts versions of Apache DolphinScheduler up to and including 3.1.9. Mitigation involves upgrading to version 3.2.0 or implementing a temporary workaround by restricting exposed management endpoints.
Apache DolphinScheduler (CVE-2025-62188) में एक संवेदनशील जानकारी के प्रकटीकरण की भेद्यता की पहचान की गई है, जिसका CVSS स्कोर 7.5 है। यह भेद्यता अनधिकृत अभिनेताओं को गोपनीय जानकारी तक पहुंचने की अनुमति देती है, जिसमें डेटाबेस क्रेडेंशियल शामिल हैं। भेद्यता विशेष रूप से Apache DolphinScheduler के 3.1.x संस्करणों को प्रभावित करती है। इन क्रेडेंशियल्स का प्रकटीकरण एक हमलावर को DolphinScheduler डेटाबेस को समझौता करने, संवेदनशील डेटा तक पहुंचने और संभावित रूप से प्लेटफ़ॉर्म के वर्कफ़्लो को नियंत्रित करने की अनुमति दे सकता है। DolphinScheduler द्वारा प्रबंधित डेटा की अखंडता और गोपनीयता की रक्षा के लिए इस भेद्यता को संबोधित करना महत्वपूर्ण है।
यह भेद्यता Apache DolphinScheduler में प्रबंधन एंडपॉइंट तक अनधिकृत पहुंच के माध्यम से शोषण की जाती है। एक हमलावर सोशल इंजीनियरिंग तकनीकों का उपयोग कर सकता है या बुनियादी ढांचे में अन्य कमजोरियों का फायदा उठाकर सिस्टम तक प्रारंभिक पहुंच प्राप्त कर सकता है। एक बार अंदर आने के बाद, हमलावर उजागर संवेदनशील जानकारी तक पहुंच सकता है और इसका उपयोग डेटाबेस को समझौता करने या अन्य दुर्भावनापूर्ण क्रियाएं करने के लिए कर सकता है। शोषण की जटिलता DolphinScheduler वातावरण में पहले से लागू सुरक्षा स्तर पर निर्भर करती है।
Organizations utilizing Apache DolphinScheduler for workflow orchestration, particularly those running versions 3.1.0 through 3.1.9, are at risk. Shared hosting environments where DolphinScheduler instances are deployed alongside other applications are also particularly vulnerable due to the potential for cross-tenant access.
• linux / server:
journalctl -u dolphinscheduler-master -g "sensitive information"• generic web:
curl -I http://<dolphinscheduler_host>/management/ # Check for exposed endpointsdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CVSS वेक्टर
अनुशंसित समाधान Apache DolphinScheduler को संस्करण 3.2.0 या उच्चतर में अपग्रेड करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी शमन उपाय के रूप में, उजागर प्रबंधन एंडपॉइंट को प्रतिबंधित किया जा सकता है। यह एक्सेस नीतियों और फ़ायरवॉल को कॉन्फ़िगर करके किया जा सकता है ताकि इन एंडपॉइंट तक पहुंच केवल अधिकृत उपयोगकर्ताओं और सिस्टम तक ही सीमित हो। शोषण के जोखिम को कम करने के लिए मौजूदा सुरक्षा कॉन्फ़िगरेशन की समीक्षा और मजबूत करना महत्वपूर्ण है। इस भेद्यता को पूरी तरह से खत्म करने का सबसे प्रभावी तरीका नवीनतम संस्करण में अपग्रेड करना है।
Actualice a la versión 3.2.0 o posterior para evitar el acceso no autorizado a información sensible, incluyendo credenciales de la base de datos. Como medida temporal, restrinja el acceso a los endpoints de administración configurando la variable de entorno MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE o modificando el archivo application.yaml.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Apache DolphinScheduler के 3.1.x संस्करण इस भेद्यता से प्रभावित हैं।
हाँ, भेद्यता को खत्म करने के लिए संस्करण 3.2.0 या उच्चतर में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है।
एक अस्थायी शमन उपाय के रूप में, एक्सेस नीतियों और फ़ायरवॉल को कॉन्फ़िगर करके उजागर प्रबंधन एंडपॉइंट को प्रतिबंधित करें।
आप जिस DolphinScheduler संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह 3.1.x संस्करण है, तो यह कमजोर है।
आप Apache DolphinScheduler सुरक्षा सलाहकार और CVE-2025-62188 प्रविष्टि में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।