CVE-2026-47340: Adgangsfejl i Apache DolphinScheduler
En loginfejl i Apache DolphinScheduler lader indloggede brugere se advarselsdata, de ikke må se.
Hvad er det?
Apache DolphinScheduler er et open source-værktøj til at planlægge og overvåge dataopgaver (også kaldet workflow-automatisering). Systemet har en funktion kaldet ‘alert instances’ (advarselskonfigurationer), som bruges til at sende notifikationer, fx via e-mail eller Slack, når en opgave fejler.
Fejlen betyder, at en bruger, der er logget ind, kan tilgå advarselskonfigurationer tilknyttet grupper, som brugeren ikke har tilladelse til at se. Det er med andre ord en fejl i adgangsstyringen (hvem må se hvad), som giver uautoriseret adgang til interne systemoplysninger.
Hvem rammer det?
Fejlen rammer virksomheder og teams, der bruger Apache DolphinScheduler i en version ældre end 3.4.2 — typisk datateams, udviklingsafdelinger eller IT-afdelinger, der bruger platformen til at automatisere og overvåge datapipelines.
For at udnytte fejlen skal angriberen allerede have en brugerkonto i systemet. Det betyder, at truslen primært kommer indefra — fx en utilfreds medarbejder, en konsulent med begrænset adgang eller en konto der er blevet kompromitteret.
Hvad kan ske?
En bruger med lavt rettighedsniveau kan læse advarselskonfigurationer, de normalt ikke har adgang til. Det kan afsløre:
- Oplysninger om interne systemer og integrationer (fx API-nøgler eller webhooks gemt i advarselskonfigurationer)
- Organisationsstruktur og hvilke grupper der overvåger hvilke processer
- Potentielt følsomme kontaktoplysninger eller servicekonti
Data kan ikke ændres eller slettes via denne fejl — det er udelukkende en lækage af fortrolige oplysninger (fortrolighed påvirkes, men ikke integritet eller tilgængelighed).
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 6.5 (moderat). Den kræver, at angriberen allerede er logget ind, og den giver kun læseadgang — ikke mulighed for at ændre eller slette data. Det sænker alvorligheden sammenlignet med mere kritiske fejl.
Risikoen er dog reel, hvis systemet indeholder følsomme konfigurationer som API-nøgler eller credentials i advarselskonfigurationerne, eller hvis I har brugere med meget forskellige tilladelsesniveauer. Kombineret med andre angrebsteknikker kan informationen bruges til at eskalere et angreb.
Hvad gør jeg nu?
Følg disse trin for at lukke hullet:
- Tjek din version: Log ind i Apache DolphinScheduler og find versionsnummeret (typisk under ‘Om’ eller i systemindstillingerne). Er du på en version ældre end 3.4.2, er du sårbar.
- Opdater til version 3.4.2: Download og installer den nyeste version fra Apache DolphinSchedulers officielle hjemmeside. Følg jeres normale opdateringsprocedure og tag backup inden opdatering.
- Gennemgå brugerkonti: Sørg for, at kun de rette medarbejdere har aktive konti i systemet. Deaktiver konti for tidligere ansatte og konsulenter.
- Tjek advarselskonfigurationer: Gennemgå om der er gemt følsomme oplysninger som adgangskoder eller API-nøgler direkte i advarselskonfigurationerne, og skift dem hvis det er tilfældet.
- Overvåg adgangsloggen: Kig i systemets logs for at se, om der har været usædvanlig adgang til advarselskonfigurationer siden systemet blev taget i brug.
Opdater inden for 30 dage
Opdater Apache DolphinScheduler til version 3.4.2 hurtigst muligt — det er den eneste holdbare løsning på problemet. Selvom fejlen kræver en eksisterende brugerkonto, bør I ikke undervurdere truslen fra interne brugere eller kompromitterede konti. Benyt opdateringen som en lejlighed til at rydde op i brugerrettigheder og sikre, at ingen følsomme oplysninger er gemt i klartekst i systemets konfigurationer.
Tidslinje
Konkrete eksempler
Intern medarbejder ser fortrolige systemintegrationer
En juniormedarbejder i dataafdelingen har en brugerkonto med begrænset adgang til DolphinScheduler. Via fejlen kan medarbejderen tilgå advarselskonfigurationer tilknyttet andre teams — og opdager herved API-nøgler til virksomhedens cloud-lagring, som er gemt i en Slack-notifikationsopsætning. Nøglerne kan herefter bruges til at tilgå følsomme data uden for DolphinScheduler.
Kompromitteret konto bruges til rekognoscering
En angriber har via phishing fået adgang til en medarbejders brugerkonto i DolphinScheduler. Selvom kontoen kun har basale rettigheder, bruger angriberen fejlen til at kortlægge interne systemer og integrationer ved at gennemse advarselskonfigurationer på tværs af grupper. Oplysningerne bruges efterfølgende til at planlægge et mere målrettet angreb mod virksomhedens infrastruktur.
Konsulent får adgang til data uden for sit arbejdsområde
En ekstern konsulent har fået en midlertidig brugerkonto for at hjælpe med et afgrænset dataprojekt. Via fejlen kan konsulenten tilgå advarselskonfigurationer for hele organisationen — herunder kontaktoplysninger, interne systemnavne og webhooks — der rækker langt ud over den aftalte arbejdsopgave.
Ofte stillede spørgsmål
Skal man være hacker for at udnytte denne fejl?
Nej. Man skal blot have en almindelig brugerkonto i Apache DolphinScheduler. Det gør fejlen relevant i scenarier med mange brugere eller delte systemer, hvor ikke alle har samme tilladelsesniveau.
Kan en udefrakommende angriber bruge denne fejl?
Kun hvis DolphinScheduler er tilgængeligt fra internettet, og angriberen kan skaffe sig adgang til en brugerkonto — fx via et phishing-angreb eller en lækket adgangskode. Er systemet kun tilgængeligt internt i virksomheden, er risikoen lavere, men ikke elimineret.
Kan vores data blive ændret eller slettet via denne fejl?
Nej. Fejlen giver udelukkende læseadgang til advarselskonfigurationer. Data kan ikke ændres, slettes eller krypteres (ransomware) via denne sårbarhed alene.
Hvad er en 'alert instance', og hvorfor er det et problem hvis andre kan se den?
En alert instance er en opsætning, der fortæller systemet, hvordan og hvem der skal adviseres, når noget går galt — fx via e-mail, Slack eller en webhook. Disse konfigurationer kan indeholde følsomme oplysninger som API-nøgler, tjenestekonti eller interne URL-adresser, som ikke bør være synlige for alle brugere.
Er der en midlertidig løsning, hvis vi ikke kan opdatere med det samme?
Apache anbefaler ikke en officiel workaround — den eneste anbefalede løsning er at opdatere til version 3.4.2. Som en midlertidig foranstaltning kan I begrænse antallet af aktive brugerkonti og sikre, at ingen følsomme oplysninger er gemt i advarselskonfigurationerne.
Ramte produkter
Apache — Dolphinscheduler
< 3.4.2
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Allow authenticated users to access alert instances associated with alert groups they do not have permission to access. in Apache DolphinScheduler.
This issue affects Apache DolphinScheduler: before 3.4.2.
Users are recommended to upgrade to version 3.4.2, which fixes the issue.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
