1. 极安网首页
  2. 网络安全技术

CVE-2020-11974:Apache DolphinScheduler远程代码执行漏洞

CVE-2020-11974:Apache DolphinScheduler远程代码执行漏洞-极安网

这是一个分布式去中心化,易扩展的可视化DAG(有向无环图)工作流任务调度系统。

利用漏洞:需要登录权限, 态势感知提供一组默认密码。

该漏洞存在于数据源中心未限制添加的jdbc连接参数,从而实现JDBC客户端反序列化。

1、登录到面板 -> 数据源中心。

2、jdbc连接参数就是主角,这里没有限制任意类型的连接串参数。

3、将以下数据添加到jdbc连接参数中,就可以直接触发。

CVE-2020-11974:Apache DolphinScheduler远程代码执行漏洞-极安网

PoC:

温馨提示:终身会员登陆后查看

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/960.html