Informazioni sul CVE-2024-23320
Apache DolphinScheduler: Arbitrary js execution as root for authenticated users
CWE ID: CWE-20
Base Score (CVSS): N/A
CVE: CVE-2024-23320
Descrizione: “Vulnerabilità di input non validato impropria in Apache DolphinScheduler. Un utente autenticato può eseguire JavaScript arbitrario non sandboxed sul server. Questo problema è un difetto di legacy di CVE-2023-49299. Non abbiamo risolto completamente questo problema in CVE-2023-49299, e abbiamo aggiunto un altro patch per risolverlo. Questo problema riguarda Apache DolphinScheduler: fino alla versione 3.2.1. Si raccomanda agli utenti di aggiornare alla versione 3.2.1, che risolve il problema.”
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/apache/dolphinscheduler/pull/15487
- https://lists.apache.org/thread/tnf99qoc6tlnwrny4t1zk6mfszgdsokm
- https://lists.apache.org/thread/25qhfvlksozzp6j9y8ozznvjdjp3lxqq
- https://lists.apache.org/thread/p7rwzdgrztdfps8x1bwx646f1mn0x6cp
- http://www.openwall.com/lists/oss-security/2024/02/23/3
Prodotti interessati
- Apache Software Foundation – Apache DolphinScheduler
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache DolphinScheduler
Anno: 2024
CWE: CWE-20
CVSS: 0.0