CVE-2023-25601

ALT: (7,5)

CVSS3: 6,5

Apache DolphinScheduler podria permetre a un atacant remot saltar-se les restriccions de seguretat a causa d’una validació d’autenticació incorrecta per part de la funció python-gateway. Mitjançant l’enviament d’una sol·licitud especialment dissenyada utilitzant socket bytes, l’atacant podria explotar aquesta vulnerabilitat per eludir les restriccions d’accés.

Sistemes Afectats

• Apache DolphinScheduler 3.0.0
• Apache DolphinScheduler 3.1.1

Remediació
Actualitzeu a l’última versió d’Apache DolphinScheduler (3.1.2 o posterior), disponible en el lloc web d’Apache. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://seclists.org/oss-sec/2023/q2/83
• https://dolphinscheduler.apache.org/en-us
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25601