CVE-2026-42357: Adgangsfejl i Apache DolphinScheduler
Fejl i Apache DolphinScheduler giver uvedkommende brugere adgang til projektdata de ikke må se.
Hvad er det?
Apache DolphinScheduler er et open source-program til at planlægge og styre automatiserede arbejdsprocesser (såkaldte workflows) med data. En fejl i adgangsstyringen (den mekanisme der bestemmer, hvem der må se hvad) betyder, at en bruger med en almindelig konto kan tilgå oplysninger om arbejdsprocesser i projekter, som de ikke har fået adgang til. Fejlen er kategoriseret som CWE-863, hvilket betyder at systemet tjekker om en bruger er logget ind, men ikke om de har lov til at se det pågældende indhold. Problemet er rettet i version 3.4.2.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der bruger Apache DolphinScheduler i en version ældre end 3.4.2. Det er typisk virksomheder der arbejder med databehandling, datapipelines eller automatiserede IT-processer — for eksempel inden for logistik, finans, e-handel eller produktion. Har I flere brugere med adgang til jeres DolphinScheduler-installation, er risikoen størst, da en hvilken som helst logget ind bruger potentielt kan se andres projektdata.
Hvad kan ske?
En angriber eller utilfreds medarbejder med en gyldig brugerkonto kan tilgå workflow-oplysninger fra projekter, de ikke har tilladelse til at se. Det kan betyde:
- Lækage af forretningskritiske processer og automatiseringslogik
- Indsigt i interne dataflows, tidsplaner og systemintegrationer
- Potentielt grundlag for videre angreb, hvis processerne afslører følsomme systemoplysninger eller adgangsdata
Angrebet kræver ikke avancerede færdigheder — blot en aktiv brugerkonto i systemet.
Hvor alvorligt er det?
CVSS-scoren er 6,5 ud af 10 (Moderat). Angrebet kan udføres over netværket uden særlige tekniske forudsætninger, og det kræver kun en lavprivilegeret konto (en normal bruger). Til gengæld er det begrænset til læseadgang — en angriber kan ikke ændre eller slette data via denne sårbarhed. Alvoren afhænger meget af, hvad jeres workflows indeholder: Jo mere følsomme oplysninger der behandles, desto større er konsekvensen ved et brud.
Hvad gør jeg nu?
Følg disse trin for at beskytte jer:
- Find ud af om I bruger Apache DolphinScheduler — spørg jeres IT-ansvarlige eller den leverandør der driver jeres dataplatform.
- Tjek versionen — er I på en version ældre end 3.4.2, er I sårbare.
- Opdater til version 3.4.2 eller nyere — dette er den officielle rettelse fra Apache og løser problemet fuldstændigt.
- Gennemgå brugerkontiene — sørg for at kun de rette medarbejdere har adgang til systemet, og fjern konti der ikke længere er i brug.
- Orientér jeres IT-leverandør — hvis en ekstern part drifter systemet for jer, bed dem bekræfte at opdateringen er gennemført.
Opdater inden for 14 dage
Opdater Apache DolphinScheduler til version 3.4.2 hurtigst muligt — det er en simpel og direkte løsning der fjerner sårbarheden helt. Kombinér opdateringen med en gennemgang af jeres brugerkonti, så I er sikre på at kun de rette personer har adgang til systemet. Har I en ekstern IT-partner, så kontakt dem i dag og bed om en bekræftelse på at opdateringen er planlagt.
Tidslinje
Konkrete eksempler
Medarbejder tilgår konkurrentens interne processer
En virksomhed bruger DolphinScheduler på tværs af flere afdelinger, hver med sit eget projekt. En medarbejder i marketingafdelingen er nysgerrig og forsøger at tilgå økonomiafdelingens workflow-data via et simpelt API-kald (en forespørgsel til systemet). Uden den korrekte adgangskontrol returnerer systemet oplysningerne, selvom medarbejderen ikke har fået tildelt adgang til projektet.
Kompromitteret konto bruges til at kortlægge systemer
En angriber skaffer sig adgang til en lavprivilegeret brugerkonto — for eksempel via phishing (en falsk mail der snyder brugeren til at afgive sit kodeord). Med den konto kan angriberen systematisk hente oplysninger om alle virksomhedens workflows og dataflows, og kortlægge interne systemer, integrationer og tidsplaner. Disse oplysninger kan bruges som springbræt til et mere målrettet angreb.
Ekstern konsulent ser data de ikke må se
En ekstern konsulent får en midlertidig brugerkonto til ét specifikt projekt i DolphinScheduler. På grund af fejlen kan konsulenten også tilgå workflow-data fra andre projekter i systemet — herunder projekter med fortrolige forretningsoplysninger eller data om kunder og partnere. Virksomheden opdager det ikke, fordi systemet ikke logger de uautoriserede opslag korrekt.
Ofte stillede spørgsmål
Hvad er Apache DolphinScheduler, og bruger vi det?
Apache DolphinScheduler er et open source-værktøj til at planlægge og automatisere dataprocesser. Det bruges ofte i virksomheder med komplekse datapipelines eller automatiserede IT-arbejdsflows. Er du i tvivl om I bruger det, så spørg jeres IT-ansvarlige eller kig efter programmet i jeres systemoversigt.
Kan en angriber udefra udnytte dette uden en konto?
Nej — sårbarheden kræver, at angriberen er logget ind i systemet med en gyldig brugerkonto. En ekstern angriber uden konto kan ikke udnytte fejlen direkte. Risikoen er derfor primært intern: utilfredse medarbejdere, kompromitterede konti eller leverandører med unødvendig adgang.
Kan vi nøjes med at begrænse adgang i stedet for at opdatere?
Det er ikke tilstrækkeligt som erstatning for opdateringen. At reducere antallet af brugerkonti mindsker risikoen, men selve fejlen i adgangsstyringen fjernes kun ved at opgradere til version 3.4.2. Begræns adgangen og opdater — begge dele er vigtige.
Hvad sker der hvis vi ikke opdaterer?
Så længe I kører en sårbar version, kan enhver bruger med en konto i systemet tilgå projektdata de ikke bør se. Det kan føre til lækage af forretningshemmeligheder, indsigt i interne processer og i værste fald danne grundlag for et mere målrettet angreb. Risikoen stiger med antallet af brugere og følsomheden af de data, der behandles.
Er vores data blevet stjålet allerede?
Det kan vi ikke afgøre uden en konkret gennemgang af jeres systemlogfiler. Har I mistanke om misbrug, bør I kontakte en IT-sikkerhedsspecialist der kan analysere adgangslogge og vurdere om uvedkommende har tilgået data. Auroa hjælper gerne med en sådan gennemgang.
Ramte produkter
Apache — Dolphinscheduler
< 3.4.2
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Incorrect Authorization vulnerability allows users to access workflow instance information belonging to projects they do not have permission to access.
This issue affects Apache DolphinScheduler versions prior to 3.4.2.
Users are recommended to upgrade to version 3.4.2, which fixes this issue.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
