PT-2021-5482 · Apache · Apache Dolphinscheduler
Jinchen Sheng
·
Publicado
2021-01-11
·
Atualizado
2021-11-03
·
CVE-2021-27644
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache DolphinScheduler anteriores à 1.3.6
Descrição
O problema está relacionado a falhas no gerenciamento de privilégios, permitindo que invasores remotos executem consultas SQL arbitrárias. Especificamente, usuários autorizados podem utilizar injeção de SQL no centro de fontes de dados ao usar uma fonte de dados MySQL com uma senha de conta de login interna.
Recomendações
Para versões anteriores à 1.3.6, atualize para a versão 1.3.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao centro de fontes de dados para fontes de dados MySQL com senhas de contas de login internas até que a atualização seja aplicada.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Dolphinscheduler