漏洞详情

CVE-2023-48796 被归类为“重要”严重性漏洞。它影响 Apache DolphinScheduler 版本 3.0.0 至 3.0.2。该漏洞是由于敏感信息（尤其是数据库凭据）的不当暴露而引起的。这使得未经授权的行为者能够拦截和利用这些敏感数据，从而可能获得对底层数据库的未经授权的访问，并损害系统的完整性和安全性。

影响

敏感信息（包括数据库凭证）的暴露可能会给使用 Apache DolphinScheduler 的组织带来严重后果。未经授权访问数据库可能会让攻击者操纵数据、窃取敏感信息，甚至破坏操作。这可能会导致经济损失、声誉受损以及潜在的法律后果。

防御

为了解决此漏洞，Apache DolphinScheduler 发布了版本3.0.2，修复了该问题。强烈建议用户尽快升级到此最新版本。或者，如果升级不能立即可行，用户可以通过设置环境变量MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE=health,metrics,prometheus来实现解决方法。这将限制敏感信息的暴露。此外，用户可以将以下部分添加到application.yaml 文件中：通过升级到最新版本或实施提供的解决方法，组织可以有效降低未经授权访问敏感信息的风险。