PT-2021-9678 · Apache · Apache Dolphinscheduler

Xuxiang

Publicado

2021-01-11

Atualizado

2022-02-09

CVE-2020-13922

CVSS v4.0

7.1

Alta

Vetor

AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Nome do software vulnerável e versões afetadas

Versões do Apache DolphinScheduler anteriores à 1.3.2

Descrição

A vulnerabilidade permite que um usuário comum em qualquer tenant substitua a senha de outro usuário por meio da interface API.

Recomendações

Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface API para minimizar o risco de exploração.

Correção

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-264CWE-276

Identificadores relacionados

CVE-2020-13922

GHSA-QHH5-9738-G9MX

PYSEC-2021-876

Produtos afetados

Apache Dolphinscheduler

PT-2021-9678 · Apache · Apache Dolphinscheduler

CVE-2020-13922

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 13