1.漏洞概述

2024 年 2 月 26 日，安全运营中心监测到 Apache DolphinScheduler<3.2.1 任意代码执行漏洞，漏洞编号：CVE-2024-23320，漏洞威胁等级：高危。

2.漏洞详情

Apache Dolphinscheduler 是开源的分布式任务调度系统。受影响版本中，由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤，攻击者可构造包含模版字符串(如：${cmd})或 Unicode 编码的恶意参数创建数据处理任务，当程序执行时会在服务器上执行任意可逃逸沙箱的 JavaScript 代码。

3.影响版本

apache.dolphinscheduler<3.2.1

4.处置建议

将 org.apache.dolphinscheduler:dolphinscheduler 升级至 3.2.1 及以上版本。https://github.com/apache/dolphinscheduler/commit/ef9ed3db55cb1647886b06c2b2c6a5cfcdccfb5c

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651