CVE-2020-11974:Apache DolphinScheduler远程代码执行漏洞 作者:Admin • 发布: 2020-09-22 10:45 • 栏目:网络安全技术 这是一个分布式去中心化,易扩展的可视化DAG(有向无环图)工作流任务调度系统。 利用漏洞:需要登录权限, 态势感知提供一组默认密码。 该漏洞存在于数据源中心未限制添加的jdbc连接参数,从而实现JDBC客户端反序列化。 1、登录到面板 -> 数据源中心。 2、jdbc连接参数就是主角,这里没有限制任意类型的连接串参数。 3、将以下数据添加到jdbc连接参数中,就可以直接触发。 PoC: 温馨提示:终身会员登陆后查看开通会员 原创文章,作者: Admin ,转载请注明出处:https://secvery.com/960.html
