CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-45462 – Apache DolphinScheduler prior to 2.0.5 have command execution vulnerability
https://notcve.org/view.php?id=CVE-2022-45462
Alarm instance management has command injection when there is a specific command configured. It is only for logged-in users. We recommend you upgrade to version 2.0.6 or higher Alarm instance management tiene inyección de comandos cuando hay un comando específico configurado. Es sólo para usuarios registrados. Le recomendamos actualizar a la versión 2.0.6 o superior. • http://www.openwall.com/lists/oss-security/2022/11/23/1 https://lists.apache.org/thread/2f126y32bf1v3mvxkdgt2jr5j3l1t01w • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34662 – Apache DolphinScheduler prior to 3.0.0 allows path traversal
https://notcve.org/view.php?id=CVE-2022-34662
When users add resources to the resource center with a relation path will cause path traversal issues and only for logged-in users. You could upgrade to version 3.0.0 or higher Cuando los usuarios agregan recursos al centro de recursos con una ruta de relación, se producirán problemas de path traversal y solo para los usuarios que hayan iniciado sesión. Podrías actualizar a la versión 3.0.0 o superior. • http://www.openwall.com/lists/oss-security/2022/11/01/13 https://lists.apache.org/thread/pbdzqf9ntxyvs4cr0x2dgk9zlf43btz8 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-26884 – Apache DolphinScheduler exposes files without authentication
https://notcve.org/view.php?id=CVE-2022-26884
Users can read any files by log server, Apache DolphinScheduler users should upgrade to version 2.0.6 or higher. Los usuarios pueden leer cualquier archivo mediante el servidor de registro; los usuarios de Apache DolphinScheduler deben actualizar a la versión 2.0.6 o superior. • http://www.openwall.com/lists/oss-security/2022/10/28/2 https://lists.apache.org/thread/xfdst5y4hnrm2ntmc5jzrgmw2htyyb9c • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-25598 – Apache DolphinScheduler user registration is vulnerable to ReDoS attacks
https://notcve.org/view.php?id=CVE-2022-25598
Apache DolphinScheduler user registration is vulnerable to Regular express Denial of Service (ReDoS) attacks, Apache DolphinScheduler users should upgrade to version 2.0.5 or higher. El registro de usuarios de Apache DolphinScheduler es vulnerable a ataques de Denegación de Servicio de Expresión Regular (ReDoS), los usuarios de Apache DolphinScheduler deben actualizar a versión 2.0.5 o superior • https://lists.apache.org/thread/hwnw7xr969sg5nv84wz75nfr2c76fl93 • CWE-1333: Inefficient Regular Expression Complexity •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-27644 – DolphinScheduler mysql jdbc connector parameters deserialize remote code execution
https://notcve.org/view.php?id=CVE-2021-27644
In Apache DolphinScheduler before 1.3.6 versions, authorized users can use SQL injection in the data source center. (Only applicable to MySQL data source with internal login account password) En Apache DolphinScheduler versiones anteriores a 1.3.6, los usuarios autorizados pueden usar una inyección SQL en el centro de origen de datos. (Sólo aplicable a la fuente de datos MySQL con la contraseña de la cuenta de inicio de sesión interna) • http://www.openwall.com/lists/oss-security/2021/11/01/3 https://lists.apache.org/thread.html/r35d6acf021486a390a7ea09e6650c2fe19e72522bd484791d606a6e6%40%3Cdev.dolphinscheduler.apache.org%3E • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CWE-264: Permissions, Privileges, and Access Controls •