CVE-2026-32966: Kritisk hul i Apache DolphinScheduler
Kritisk sikkerhedshul i Apache DolphinScheduler giver uautoriserede adgang til følsomme datakilde-oplysninger – opdater til version 3.4.2 nu.
Hvad er det?
Apache DolphinScheduler er et open source-værktøj til at planlægge og automatisere datapipelines (arbejdsprocesser der flytter og behandler data). En kritisk sårbarhed i systemets DataSource API (den del der håndterer forbindelser til databaser og datakilder) mangler en grundlæggende adgangskontrol. Det betyder, at en angriber uden at logge ind kan tilgå metadata (oplysninger om opsætning og konfiguration) for alle tilkoblede datakilder. Fejlen er klassificeret som CWE-863, der dækker manglende eller forkert autorisationskontrol (kontrol af om en bruger har lov til noget). Sårbarheden rammer alle versioner før 3.4.2.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Apache DolphinScheduler i version ældre end 3.4.2 til at styre og automatisere datapipelines. Det gælder typisk virksomheder med datadrevne processer, analyse-teams, BI-afdelinger (Business Intelligence) og it-afdelinger, der bruger DolphinScheduler til at koordinere databaser og datastrømme. Hvis systemet er tilgængeligt via internettet, er risikoen særligt høj.
Hvad kan ske?
En angriber med netværksadgang — uden brugernavn eller adgangskode — kan hente metadata fra alle de datakilder, der er tilkoblet DolphinScheduler. Det kan inkludere:
- Databasenavne, serveradresser og porte
- Forbindelsesstrenge (connection strings) der kan indeholde brugernavne og adgangskoder
- Oplysninger om interne systemer og dataarkitektur
Disse oplysninger kan bruges som springbræt til yderligere angreb mod dine databaser og interne systemer. I værste fald kan det føre til et fuldt databrud.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.8 ud af 10 (Kritisk) af den internationale CVSS-skala. Det skyldes at:
- Angrebet kan udføres over nettet uden specielle forudsætninger
- Angriberen behøver hverken konto, adgangskode eller brugermedvirken
- Angrebets kompleksitet er lav — det kræver ikke avancerede tekniske færdigheder
- Fortrolighed, integritet og tilgængelighed er alle i høj risiko
Dette er en af de mest alvorlige CVSS-scorer en sårbarhed kan få.
Hvad gør jeg nu?
Hvis din virksomhed bruger Apache DolphinScheduler, skal du handle hurtigt. Her er hvad du gør:
- Find ud af hvilken version du bruger: Spørg din it-ansvarlige eller tjek systemets dokumentation. Er det en version ældre end 3.4.2, er du sårbar.
- Opdater til version 3.4.2 eller nyere: Dette er den eneste fulde løsning. Opdateringen lukker hullet. Hent den via Apache DolphinSchedulers officielle hjemmeside eller dit interne pakkesystem.
- Begræns netværksadgang midlertidigt: Hvis du ikke kan opdatere med det samme, så sørg for at DolphinScheduler ikke er tilgængeligt fra internettet — eksempelvis ved at sætte en firewall-regel (adgangsfilter) op.
- Gennemgå dine datakilder: Kontrollér hvilke database-forbindelser der er konfigureret i systemet, og vurdér om følsomme adgangskoder bør skiftes som sikkerhedsforanstaltning.
- Kontakt din it-leverandør: Bruger du DolphinScheduler via en ekstern leverandør eller managed service, kontakt dem og bekræft at de har opdateret.
Opdater inden for 24-48 timer
Vi anbefaler kraftigt at du opgraderer til Apache DolphinScheduler version 3.4.2 hurtigst muligt — helst inden for de næste 24-48 timer. Mens du venter på at opdateringen kan gennemføres, bør du sikre at systemet ikke er eksponeret mod internettet uden adgangskontrol. Overvej derudover at rotere (skifte) adgangskoder for de datakilder, der er konfigureret i systemet, da vi ikke kan udelukke at oplysningerne allerede er blevet tilgået af uautoriserede.
Tidslinje
Konkrete eksempler
Angriber henter databaseforbindelser uden login
En angriber finder et DolphinScheduler-installation der er eksponeret mod internettet. Uden at kende et brugernavn eller en adgangskode sender angriberen en simpel HTTP-forespørgsel til DataSource API’en. Systemet svarer med en liste over alle konfigurerede datakilder inklusiv forbindelsesstrenge med brugernavne og adgangskoder til interne databaser. Angriberen bruger disse oplysninger til at logge direkte ind på virksomhedens produktionsdatabase.
Intern trussel kortlægger dataarkitektur
En utilfreds medarbejder eller en ekstern konsulent med adgang til virksomhedens interne netværk udnytter sårbarheden til at kortlægge hvilke databaser og systemer der er forbundet til DolphinScheduler. Selvom vedkommende ikke har tilladelse til disse systemer, får de nu et detaljeret billede af datainfrastrukturen, som kan bruges til målrettet angreb eller videresalg af oplysningerne.
Automatiseret scanning opdager og udnytter hullet
Automatiserede angrebsværktøjer scanner kontinuerligt internettet for kendte sårbarheder. Kort efter offentliggørelsen af CVE-2026-32966 identificerer et sådant værktøj en virksomheds sårbare DolphinScheduler-installation og henter automatisk al tilgængelig metadata om datakilder. Virksomheden opdager først bruddet uger senere ved en tilfældig loggennemgang.
Ofte stillede spørgsmål
Bruger vi Apache DolphinScheduler — hvordan finder vi ud af det?
Spørg din it-afdeling eller den leverandør der driver jeres dataplatform. DolphinScheduler bruges typisk af teams der arbejder med datapipelines, BI-rapportering eller automatiserede dataflows. Du kan også søge efter ‘DolphinScheduler’ i jeres systemoversigt eller softwareliste.
Er vi kun i fare, hvis systemet er tilgængeligt fra internettet?
Ikke nødvendigvis. Angrebet kan udføres af enhver med netværksadgang til systemet — det inkluderer ansatte på dit interne netværk og potentielt hackere der allerede har fået fodfæste i jeres infrastruktur. Eksponering mod internet øger dog risikoen markant, da det udvider antallet af potentielle angribere.
Hvad er metadata for datakilder, og hvorfor er det farligt?
Metadata om datakilder er de tekniske oplysninger der bruges til at forbinde systemet til dine databaser — herunder serveradresser, brugernavne og i mange tilfælde adgangskoder. Hvis en angriber får fat i disse, kan de forsøge at logge direkte ind på dine databaser og stjæle eller manipulere data.
Kan vi se om nogen allerede har udnyttet hullet?
Det er svært at afgøre uden en teknisk loggennemgang. Vi anbefaler at din it-afdeling eller en sikkerhedskonsulent gennemgår systemets adgangslogge for mistænkelig aktivitet mod DataSource API’en. Uautoriserede API-kald fra ukendte IP-adresser kan være et tegn på udnyttelse.
Har vi brug for at skifte alle databaseadgangskoder?
Det er en forsigtighedsregel vi anbefaler, særligt hvis systemet har været tilgængeligt fra internettet. Selvom det ikke er sikkert at hullet er blevet udnyttet, er det god praksis at skifte adgangskoder for de databaser der er konfigureret som datakilder i DolphinScheduler — specielt hvis de samme adgangskoder bruges andre steder.
Hvad hvis vi ikke selv kan opdatere — bruger vi en ekstern leverandør?
Kontakt din leverandør eller managed service-udbyder omgående og bed dem bekræfte at de opdaterer til version 3.4.2. Stil en klar deadline og bed om skriftlig bekræftelse. I mellemtiden kan du bede dem om at begrænse ekstern adgang til systemet som midlertidig foranstaltning.
Ramte produkter
Apache — Dolphinscheduler
< 3.4.2
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
DataSource API Missing Authorization Check Leads to Arbitrary Data Source Metadata Disclosure in Apache DolphinScheduler.
This issue affects Apache DolphinScheduler: before 3.4.2.
Users are recommended to upgrade to version 3.4.2, which fixes the issue.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
