Apache DolphinScheduler<3.2.2 远程代码执行漏洞
# Apache DolphinScheduler<3.2.2 远程代码执行漏洞
- CVE编号: CVE-2024-43202
- 危害定级: 高危
- 漏洞标签: 发布预警 公开漏洞
- 披露日期: 2024-08-20
- 推送原因: 漏洞创建
- 信息来源: https://www.oscs1024.com/hd/MPS-804s-fxuh
### 漏洞描述
Apache Dolphinscheduler 是开源的分布式任务调度系统。
受影响版本中,由于 HttpTaskDefinitionParser 类未对用户可控的 yaml 文件有效过滤,当解析攻击者构造的恶意配置文件\(如执行Kubernetes Job\)时会造成SnakeYaml反序列化漏洞,攻击者可利用该漏洞远程执行任意代码。
### 修复方案
1. 将组件 org.apache.dolphinscheduler:dolphinscheduler-task-api 升级至 3.2.2 及以上版本
2. 将组件 org.apache.dolphinscheduler:dolphinscheduler-common 升级至 3.2.2 及以上版本
3. 将组件 dolphinscheduler 升级至 3.2.2 及以上版本
### 参考链接
1. https://www.oscs1024.com/hd/MPS-804s-fxuh
2. https://nvd.nist.gov/vuln/detail/CVE-2024-43202
3. https://github.com/apache/dolphinscheduler/commit/dc306bfa1d3ed72eb7b72b177e33a46042d2a9c3
4. https://lists.apache.org/thread/nlmdp7q7l7o3l27778vxc5px24ncr5r5
### 开源检索
暂未找到
Oscs1024
OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全OSCS(开源软件供应链安全社区)致力于提升开源生态安全,通过发起《开源生态安全守护计划》联合开源社区的开发者们一起构建一个开源软件供应链的生态治理环境。