产品描述

Apache DolphinScheduler是一个分布式去中心化，易扩展的可视化DAG工作流任务调度系统。致力 于解决数据处理流程中错综复杂的依赖关系，使调度系统在数据处理流程中开箱即用。

影版本及组件

Apache DolphinScheduler < 2.0.6

漏洞描述

该漏洞由于log server对用户传入的日志路径没有进行有效过滤导致存在路径遍历漏洞，远程攻击者可利用此漏洞通过日志服务读取任意文件，从而获取系统敏感信息。

整改建议

通用修复建议：

官方已经针对漏洞发布了版本更新，下载地址如下：

https://dolphinscheduler.apache.org/en-us/download/download.HTML

漏洞来源

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-26884

https://www.opencve.io/cve/CVE-2022-26884