CVE-2026-47340
Moderat

CVE-2026-47340: Adgangsfejl i Apache DolphinScheduler

En loginfejl i Apache DolphinScheduler lader indloggede brugere se advarselsdata, de ikke må se.

CVSS Score
6.5
Offentliggjort
17/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdater inden for 30 dage

Hvad er det?

Apache DolphinScheduler er et open source-værktøj til at planlægge og overvåge dataopgaver (også kaldet workflow-automatisering). Systemet har en funktion kaldet ‘alert instances’ (advarselskonfigurationer), som bruges til at sende notifikationer, fx via e-mail eller Slack, når en opgave fejler.

Fejlen betyder, at en bruger, der er logget ind, kan tilgå advarselskonfigurationer tilknyttet grupper, som brugeren ikke har tilladelse til at se. Det er med andre ord en fejl i adgangsstyringen (hvem må se hvad), som giver uautoriseret adgang til interne systemoplysninger.

Hvem rammer det?

Fejlen rammer virksomheder og teams, der bruger Apache DolphinScheduler i en version ældre end 3.4.2 — typisk datateams, udviklingsafdelinger eller IT-afdelinger, der bruger platformen til at automatisere og overvåge datapipelines.

For at udnytte fejlen skal angriberen allerede have en brugerkonto i systemet. Det betyder, at truslen primært kommer indefra — fx en utilfreds medarbejder, en konsulent med begrænset adgang eller en konto der er blevet kompromitteret.

Hvad kan ske?

En bruger med lavt rettighedsniveau kan læse advarselskonfigurationer, de normalt ikke har adgang til. Det kan afsløre:

  • Oplysninger om interne systemer og integrationer (fx API-nøgler eller webhooks gemt i advarselskonfigurationer)
  • Organisationsstruktur og hvilke grupper der overvåger hvilke processer
  • Potentielt følsomme kontaktoplysninger eller servicekonti

Data kan ikke ændres eller slettes via denne fejl — det er udelukkende en lækage af fortrolige oplysninger (fortrolighed påvirkes, men ikke integritet eller tilgængelighed).

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 6.5 (moderat). Den kræver, at angriberen allerede er logget ind, og den giver kun læseadgang — ikke mulighed for at ændre eller slette data. Det sænker alvorligheden sammenlignet med mere kritiske fejl.

Risikoen er dog reel, hvis systemet indeholder følsomme konfigurationer som API-nøgler eller credentials i advarselskonfigurationerne, eller hvis I har brugere med meget forskellige tilladelsesniveauer. Kombineret med andre angrebsteknikker kan informationen bruges til at eskalere et angreb.

Hvad gør jeg nu?

Følg disse trin for at lukke hullet:

  1. Tjek din version: Log ind i Apache DolphinScheduler og find versionsnummeret (typisk under ‘Om’ eller i systemindstillingerne). Er du på en version ældre end 3.4.2, er du sårbar.
  2. Opdater til version 3.4.2: Download og installer den nyeste version fra Apache DolphinSchedulers officielle hjemmeside. Følg jeres normale opdateringsprocedure og tag backup inden opdatering.
  3. Gennemgå brugerkonti: Sørg for, at kun de rette medarbejdere har aktive konti i systemet. Deaktiver konti for tidligere ansatte og konsulenter.
  4. Tjek advarselskonfigurationer: Gennemgå om der er gemt følsomme oplysninger som adgangskoder eller API-nøgler direkte i advarselskonfigurationerne, og skift dem hvis det er tilfældet.
  5. Overvåg adgangsloggen: Kig i systemets logs for at se, om der har været usædvanlig adgang til advarselskonfigurationer siden systemet blev taget i brug.
Tidsfrist

Opdater inden for 30 dage

Sådan ser Auroa det

Opdater Apache DolphinScheduler til version 3.4.2 hurtigst muligt — det er den eneste holdbare løsning på problemet. Selvom fejlen kræver en eksisterende brugerkonto, bør I ikke undervurdere truslen fra interne brugere eller kompromitterede konti. Benyt opdateringen som en lejlighed til at rydde op i brugerrettigheder og sikre, at ingen følsomme oplysninger er gemt i klartekst i systemets konfigurationer.

Tidslinje

17/06/2026
CVE offentliggjort
Apache og NVD offentliggør CVE-2026-47340 med en CVSS-score på 6.5 (moderat). Fejlen beskrives som en adgangsstyringsfejl i DolphinScheduler.
17/06/2026
Patch tilgængelig
Apache DolphinScheduler 3.4.2 udgives samtidig med CVE-offentliggørelsen og retter den beskrevne fejl i adgangsstyringen.
17/06/2026
Ingen kendte aktive angreb
På offentliggørelsestidspunktet er der ingen rapporter om, at sårbarheden aktivt udnyttes i praksis. Risikoen vurderes som teoretisk.

Konkrete eksempler

Intern medarbejder ser fortrolige systemintegrationer

En juniormedarbejder i dataafdelingen har en brugerkonto med begrænset adgang til DolphinScheduler. Via fejlen kan medarbejderen tilgå advarselskonfigurationer tilknyttet andre teams — og opdager herved API-nøgler til virksomhedens cloud-lagring, som er gemt i en Slack-notifikationsopsætning. Nøglerne kan herefter bruges til at tilgå følsomme data uden for DolphinScheduler.

Kompromitteret konto bruges til rekognoscering

En angriber har via phishing fået adgang til en medarbejders brugerkonto i DolphinScheduler. Selvom kontoen kun har basale rettigheder, bruger angriberen fejlen til at kortlægge interne systemer og integrationer ved at gennemse advarselskonfigurationer på tværs af grupper. Oplysningerne bruges efterfølgende til at planlægge et mere målrettet angreb mod virksomhedens infrastruktur.

Konsulent får adgang til data uden for sit arbejdsområde

En ekstern konsulent har fået en midlertidig brugerkonto for at hjælpe med et afgrænset dataprojekt. Via fejlen kan konsulenten tilgå advarselskonfigurationer for hele organisationen — herunder kontaktoplysninger, interne systemnavne og webhooks — der rækker langt ud over den aftalte arbejdsopgave.

Ofte stillede spørgsmål

Ramte produkter

Apache — Dolphinscheduler

< 3.4.2

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-200

Original NVD-beskrivelse (engelsk)

Allow authenticated users to access alert instances associated with alert groups they do not have permission to access. in Apache DolphinScheduler.

This issue affects Apache DolphinScheduler: before 3.4.2.

Users are recommended to upgrade to version 3.4.2, which fixes the issue.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-47340
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdater inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.