プラットフォーム
java
コンポーネント
org.apache.dolphinscheduler:dolphinscheduler
修正版
3.2.0
3.2.0
CVE-2025-62188 describes an Information Disclosure vulnerability within Apache DolphinScheduler. This flaw allows unauthorized actors to potentially access sensitive information, such as database credentials. The vulnerability impacts versions of Apache DolphinScheduler up to and including 3.1.9. Mitigation involves upgrading to version 3.2.0 or implementing a temporary workaround by restricting exposed management endpoints.
Apache DolphinScheduler (CVE-2025-62188) において、機密情報の漏洩の脆弱性が確認されました。CVSS スコアは 7.5 です。この脆弱性を悪用すると、不正なアクセスにより、データベースの認証情報を含む機密情報にアクセスされる可能性があります。脆弱性は Apache DolphinScheduler のバージョン 3.1.x に影響を与えます。これらの認証情報が漏洩すると、攻撃者が DolphinScheduler データベースを侵害し、機密データにアクセスしたり、プラットフォームのワークフローを制御したりする可能性があります。DolphinScheduler が管理するデータの機密性と整合性を保護するために、この脆弱性に対処することが重要です。
この脆弱性は、Apache DolphinScheduler の管理エンドポイントへの不正アクセスによって悪用されます。攻撃者は、ソーシャルエンジニアリングの手法を使用したり、インフラストラクチャ内の他の脆弱性を悪用したりして、システムへの初期アクセスを取得する可能性があります。一度システムに侵入すると、攻撃者は公開されている機密情報にアクセスし、それを使用してデータベースを侵害したり、その他の悪意のあるアクションを実行したりする可能性があります。悪用の複雑さは、DolphinScheduler 環境にすでに実装されているセキュリティレベルに依存します。
Organizations utilizing Apache DolphinScheduler for workflow orchestration, particularly those running versions 3.1.0 through 3.1.9, are at risk. Shared hosting environments where DolphinScheduler instances are deployed alongside other applications are also particularly vulnerable due to the potential for cross-tenant access.
• linux / server:
journalctl -u dolphinscheduler-master -g "sensitive information"• generic web:
curl -I http://<dolphinscheduler_host>/management/ # Check for exposed endpointsdisclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CVSS ベクトル
推奨される解決策は、Apache DolphinScheduler をバージョン 3.2.0 以降にアップグレードすることです。直ちにアップグレードできない場合は、一時的な軽減策として、公開されている管理エンドポイントを制限できます。これは、アクセス ポリシーとファイアウォールを設定して、これらのエンドポイントへのアクセスを承認されたユーザーとシステムのみに制限することで実現できます。悪用のリスクを最小限に抑えるために、既存のセキュリティ構成をレビューおよび強化することが重要です。最新バージョンへのアップグレードは、この脆弱性を完全に排除するための最も効果的な手段です。
Actualice a la versión 3.2.0 o posterior para evitar el acceso no autorizado a información sensible, incluyendo credenciales de la base de datos. Como medida temporal, restrinja el acceso a los endpoints de administración configurando la variable de entorno MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE o modificando el archivo application.yaml.
脆弱性分析と重要アラートをメールでお届けします。
Apache DolphinScheduler のバージョン 3.1.x がこの脆弱性に影響を受けます。
はい、脆弱性を排除するために、バージョン 3.2.0 以降にアップグレードすることを強くお勧めします。
一時的な軽減策として、アクセス ポリシーとファイアウォールを設定することで、公開されている管理エンドポイントを制限してください。
使用している DolphinScheduler のバージョンを確認してください。3.1.x バージョンの場合は、脆弱です。
Apache DolphinScheduler のセキュリティアドバイザリと CVE-2025-62188 エントリで詳細情報を入手できます。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。