CVE-2026-32966
Kritisk

CVE-2026-32966: Kritisk hul i Apache DolphinScheduler

Kritisk sikkerhedshul i Apache DolphinScheduler giver uautoriserede adgang til følsomme datakilde-oplysninger – opdater til version 3.4.2 nu.

CVSS Score
9.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

Apache DolphinScheduler er et open source-værktøj til at planlægge og automatisere datapipelines (arbejdsprocesser der flytter og behandler data). En kritisk sårbarhed i systemets DataSource API (den del der håndterer forbindelser til databaser og datakilder) mangler en grundlæggende adgangskontrol. Det betyder, at en angriber uden at logge ind kan tilgå metadata (oplysninger om opsætning og konfiguration) for alle tilkoblede datakilder. Fejlen er klassificeret som CWE-863, der dækker manglende eller forkert autorisationskontrol (kontrol af om en bruger har lov til noget). Sårbarheden rammer alle versioner før 3.4.2.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Apache DolphinScheduler i version ældre end 3.4.2 til at styre og automatisere datapipelines. Det gælder typisk virksomheder med datadrevne processer, analyse-teams, BI-afdelinger (Business Intelligence) og it-afdelinger, der bruger DolphinScheduler til at koordinere databaser og datastrømme. Hvis systemet er tilgængeligt via internettet, er risikoen særligt høj.

Hvad kan ske?

En angriber med netværksadgang — uden brugernavn eller adgangskode — kan hente metadata fra alle de datakilder, der er tilkoblet DolphinScheduler. Det kan inkludere:

  • Databasenavne, serveradresser og porte
  • Forbindelsesstrenge (connection strings) der kan indeholde brugernavne og adgangskoder
  • Oplysninger om interne systemer og dataarkitektur

Disse oplysninger kan bruges som springbræt til yderligere angreb mod dine databaser og interne systemer. I værste fald kan det føre til et fuldt databrud.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.8 ud af 10 (Kritisk) af den internationale CVSS-skala. Det skyldes at:

  • Angrebet kan udføres over nettet uden specielle forudsætninger
  • Angriberen behøver hverken konto, adgangskode eller brugermedvirken
  • Angrebets kompleksitet er lav — det kræver ikke avancerede tekniske færdigheder
  • Fortrolighed, integritet og tilgængelighed er alle i høj risiko

Dette er en af de mest alvorlige CVSS-scorer en sårbarhed kan få.

Hvad gør jeg nu?

Hvis din virksomhed bruger Apache DolphinScheduler, skal du handle hurtigt. Her er hvad du gør:

  1. Find ud af hvilken version du bruger: Spørg din it-ansvarlige eller tjek systemets dokumentation. Er det en version ældre end 3.4.2, er du sårbar.
  2. Opdater til version 3.4.2 eller nyere: Dette er den eneste fulde løsning. Opdateringen lukker hullet. Hent den via Apache DolphinSchedulers officielle hjemmeside eller dit interne pakkesystem.
  3. Begræns netværksadgang midlertidigt: Hvis du ikke kan opdatere med det samme, så sørg for at DolphinScheduler ikke er tilgængeligt fra internettet — eksempelvis ved at sætte en firewall-regel (adgangsfilter) op.
  4. Gennemgå dine datakilder: Kontrollér hvilke database-forbindelser der er konfigureret i systemet, og vurdér om følsomme adgangskoder bør skiftes som sikkerhedsforanstaltning.
  5. Kontakt din it-leverandør: Bruger du DolphinScheduler via en ekstern leverandør eller managed service, kontakt dem og bekræft at de har opdateret.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler kraftigt at du opgraderer til Apache DolphinScheduler version 3.4.2 hurtigst muligt — helst inden for de næste 24-48 timer. Mens du venter på at opdateringen kan gennemføres, bør du sikre at systemet ikke er eksponeret mod internettet uden adgangskontrol. Overvej derudover at rotere (skifte) adgangskoder for de datakilder, der er konfigureret i systemet, da vi ikke kan udelukke at oplysningerne allerede er blevet tilgået af uautoriserede.

Tidslinje

17/06/2026
CVE offentliggjort
Apache DolphinScheduler og NVD offentliggør CVE-2026-32966. Sårbarheden beskrives som en manglende autorisationskontrol i DataSource API'en der giver adgang til datakilde-metadata uden login.
17/06/2026
Patch frigivet: version 3.4.2
Apache frigiver version 3.4.2 der lukker sikkerhedshullet. Brugere opfordres kraftigt til at opgradere øjeblikkeligt.
17/06/2026
Proof-of-Concept potentielt tilgængeligt
Med en CVSS-score på 9.8 og lav angrebskompleksitet vurderes det at teknisk udnyttelse er inden for rækkevidde for angribere kort efter offentliggørelsen. Overvågning af exploit-databaser anbefales.
18/06/2026
Kritisk opdateringsfrist
Auroa anbefaler at alle berørte virksomheder senest på dette tidspunkt enten har opdateret til 3.4.2 eller isoleret systemet fra netværksadgang som midlertidig beskyttelse.

Konkrete eksempler

Angriber henter databaseforbindelser uden login

En angriber finder et DolphinScheduler-installation der er eksponeret mod internettet. Uden at kende et brugernavn eller en adgangskode sender angriberen en simpel HTTP-forespørgsel til DataSource API’en. Systemet svarer med en liste over alle konfigurerede datakilder inklusiv forbindelsesstrenge med brugernavne og adgangskoder til interne databaser. Angriberen bruger disse oplysninger til at logge direkte ind på virksomhedens produktionsdatabase.

Intern trussel kortlægger dataarkitektur

En utilfreds medarbejder eller en ekstern konsulent med adgang til virksomhedens interne netværk udnytter sårbarheden til at kortlægge hvilke databaser og systemer der er forbundet til DolphinScheduler. Selvom vedkommende ikke har tilladelse til disse systemer, får de nu et detaljeret billede af datainfrastrukturen, som kan bruges til målrettet angreb eller videresalg af oplysningerne.

Automatiseret scanning opdager og udnytter hullet

Automatiserede angrebsværktøjer scanner kontinuerligt internettet for kendte sårbarheder. Kort efter offentliggørelsen af CVE-2026-32966 identificerer et sådant værktøj en virksomheds sårbare DolphinScheduler-installation og henter automatisk al tilgængelig metadata om datakilder. Virksomheden opdager først bruddet uger senere ved en tilfældig loggennemgang.

Ofte stillede spørgsmål

Ramte produkter

Apache — Dolphinscheduler

< 3.4.2

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-863

Original NVD-beskrivelse (engelsk)

DataSource API Missing Authorization Check Leads to Arbitrary Data Source Metadata Disclosure in Apache DolphinScheduler.

This issue affects Apache DolphinScheduler: before 3.4.2.

Users are recommended to upgrade to version 3.4.2, which fixes the issue.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-32966
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.