Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)
漏洞描述
发现的漏洞是任何租户下的普通用户都可以通过以下方式覆盖其他用户的密码
api interface /dolphinscheduler/users/update
受影响的版本
受影响版本
Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1
安全版本
Apache DolphinScheduler >= 1.3.2
POST /dolphinscheduler/users/update |
漏洞修复方案
建议用户将 Apache DolphinScheduler 升级到安全版本。
下载链接:https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html
Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)