HIGHCVE-2025-62188CVSS 7.5

Apache DolphinScheduler: 用户可以通过 actuator 端点访问敏感信息。

Q: CVE-2025-62188 是否正在被积极利用？

检查您使用的 DolphinScheduler 版本。 如果是 3.1.x 版本，则容易受到攻击。

平台

java

组件

org.apache.dolphinscheduler:dolphinscheduler

修复版本

3.2.0

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-62188描述了Apache DolphinScheduler中的敏感信息泄露漏洞。此漏洞可能允许未经授权的攻击者访问敏感信息，包括数据库凭据。此问题影响Apache DolphinScheduler版本3.1.x。建议用户升级到版本3.2.0或更高版本，或者通过设置MANAGEMENTENDPOINTSWEBEXPOSUREINCLUDE环境变量来限制暴露的管理端点。

影响与攻击场景

Apache DolphinScheduler (CVE-2025-62188) 中发现了一种敏感信息泄露漏洞，CVSS 评分达到 7.5。此漏洞允许未经授权的参与者访问敏感信息，包括数据库凭据。此漏洞专门影响 Apache DolphinScheduler 的 3.1.x 版本。泄露这些凭据可能允许攻击者破坏 DolphinScheduler 数据库，访问敏感数据并可能控制平台的工作流程。为了保护 DolphinScheduler 管理的数据的完整性和保密性，解决此漏洞至关重要。

利用背景

此漏洞是通过对 Apache DolphinScheduler 中管理端点进行未经授权的访问来利用的。攻击者可能会使用社会工程技术或利用基础设施中的其他漏洞来获取对系统的初步访问。一旦进入，攻击者就可以访问暴露的敏感信息，并将其用于破坏数据库或其他恶意操作。利用的复杂性取决于 DolphinScheduler 环境中已实施的安全级别。

哪些人处于风险中翻译中…

Organizations utilizing Apache DolphinScheduler for workflow orchestration, particularly those running versions 3.1.0 through 3.1.9, are at risk. Shared hosting environments where DolphinScheduler instances are deployed alongside other applications are also particularly vulnerable due to the potential for cross-tenant access.

检测步骤翻译中…

• linux / server:

journalctl -u dolphinscheduler-master -g "sensitive information"

• generic web:

curl -I http://<dolphinscheduler_host>/management/  # Check for exposed endpoints

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.01% (2% 百分位)

CVSS 向量

受影响的软件

组件org.apache.dolphinscheduler:dolphinscheduler

供应商osv

影响范围修复版本

3.1.0 – 3.2.03.2.0

3.1.03.2.0

弱点分类 (CWE)

CWE-200

时间线

已保留2025-10-08
发布日期2026-04-09
修改日期2026-04-10
EPSS 更新日期2026-04-16

缓解措施和替代方案

建议的解决方案是将 Apache DolphinScheduler 升级到 3.2.0 或更高版本。如果无法立即升级，则可以通过限制暴露的管理端点作为临时缓解措施。这可以通过配置访问策略和防火墙来实现，从而仅允许授权用户和系统访问这些端点。重要的是审查并加强现有的安全配置，以最大程度地减少被利用的风险。升级到最新版本是完全消除此漏洞的最有效措施。

修复方法翻译中…

Actualice a la versión 3.2.0 o posterior para evitar el acceso no autorizado a información sensible, incluyendo credenciales de la base de datos. Como medida temporal, restrinja el acceso a los endpoints de administración configurando la variable de entorno MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE o modificando el archivo application.yaml.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-62188 是什么 — org.apache.dolphinscheduler:dolphinscheduler 中的 Information Disclosure？

Apache DolphinScheduler 的 3.1.x 版本受到此漏洞的影响。

org.apache.dolphinscheduler:dolphinscheduler 中的 CVE-2025-62188 是否会影响我？

是的，强烈建议升级到 3.2.0 或更高版本以消除漏洞。

如何修复 org.apache.dolphinscheduler:dolphinscheduler 中的 CVE-2025-62188？

作为临时缓解措施，请通过配置访问策略和防火墙来限制暴露的管理端点。

CVE-2025-62188 是否正在被积极利用？

检查您使用的 DolphinScheduler 版本。如果是 3.1.x 版本，则容易受到攻击。

在哪里可以找到 org.apache.dolphinscheduler:dolphinscheduler 关于 CVE-2025-62188 的官方安全通告？

您可以在 Apache DolphinScheduler 安全公告和 CVE-2025-62188 条目中找到更多信息。