【漏洞通告】Apache DolphinScheduler远程代码执行漏洞（CVE-2024-43202）

文章预览

一、漏洞 概述 漏洞名称   Apache  DolphinScheduler远程代码执行漏洞 CVE   ID CVE-2024-43202 漏洞类型 RCE 发现时间 2024-08-20 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache DolphinScheduler是一个分布式易扩展的可视化DAG工作流任务调度开源系统，适用于企业级场景，提供了一个可视化操作任务、工作流和全生命周期数据处理过程的解决方案。 2024年8月20日，启明星辰集团VSRC监测到Apache DolphinScheduler中修复了 一个远程代码执行漏洞（CVE-2024-43202），该漏洞的CVSS评分为9.8。 Apache DolphinScheduler 3.2.2 之前版本中，由于未有效限制反序列化的类以及对用户提供的 YAML 文件缺乏充分验证和过滤，可能导致 SnakeYAML 反序列化漏洞，威胁者可提供恶意 YAML 文件来触发反序列化漏洞，从而执行任意代码。 ………………………………