anonhaven

CVE-2025-62188

HIGH CVSS 3.1: 7,5 EPSS 0.02%
Обновлено 17 апреля 2026
Apache
Параметр Значение
CVSS 7,5 (HIGH)
Уязвимые версии 3.1.0 — 3.2.0
Устранено в версии 3.2.0
Тип уязвимости CWE-200 (Раскрытие информации)
Поставщик Apache
Публичный эксплойт Нет

В Apache DolphinScheduler существует уязвимость, связанная с раскрытием конфиденциальной информации неавторизованному лицу. Эта уязвимость может позволить неавторизованным лицам получить доступ к конфиденциальной информации, включая учетные данные базы данных. Эта проблема затрагивает версии Apache DolphinScheduler 3.1.*.

Пользователям рекомендуется обновиться до: * версия ≥ 3.2.0 при использовании 3.1.x В качестве временного решения пользователи, которые не могут выполнить обновление немедленно, могут ограничить доступные конечные точки управления, установив следующую переменную среды: ``` MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE=здоровье,показатели,прометей ``` Альтернативно добавьте следующую конфигурацию в файл application.yaml: ``` управление:    конечные точки:      сеть:         экспозиция:           включают: здоровье, метрики, Прометей ``` Об этой проблеме сообщалось как CVE-2023-48796: https://cveprocess.apache.org/cve5/CVE-2023-48796

Показать оригинальное описание (EN)

An Exposure of Sensitive Information to an Unauthorized Actor vulnerability exists in Apache DolphinScheduler. This vulnerability may allow unauthorized actors to access sensitive information, including database credentials. This issue affects Apache DolphinScheduler versions 3.1.*. Users are recommended to upgrade to: * version ≥ 3.2.0 if using 3.1.x As a temporary workaround, users who cannot upgrade immediately may restrict the exposed management endpoints by setting the following environment variable: ``` MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE=health,metrics,prometheus ``` Alternatively, add the following configuration to the application.yaml file: ``` management:    endpoints:      web:         exposure:           include: health,metrics,prometheus ``` This issue has been reported as CVE-2023-48796: https://cveprocess.apache.org/cve5/CVE-2023-48796

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Apache Dolphinscheduler
cpe:2.3:a:apache:dolphinscheduler:*:*:*:*:*:*:*:*
 3.1.0 3.2.0

Ссылки 2

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo
security@apache.org
https://www.cve.org/CVERecord?id=CVE-2023-48796
security@apache.org
Share Post Share Share Share

Связанные уязвимости

CVE-2026-30778

Apache

7,5

CVE-2026-5088

Apache

7,5

CVE-2026-33929

Apache

4,3

CVE-2026-33704

Apache

8,8

CVE-2026-40023

Apache

6,3