CVE-2026-32967: Kritisk fejl i Apache DolphinScheduler
Kritisk adgangsfejl i Apache DolphinScheduler giver angribere fuldstændig kontrol uden login – opdater straks til version 3.4.2.
Hvad er det?
Apache DolphinScheduler er et open source-værktøj til at planlægge og automatisere dataopgaver (også kaldet workflow-automatisering). En fejl i et eksperimentelt programmeringsgrænsefladelag kaldet /v2 betyder, at systemet ikke tjekker korrekt, om en bruger har lov til at udføre bestemte handlinger. Det kaldes en autorisationsfejl (CWE-863). Resultatet er, at en angriber uden brugernavn og adgangskode kan få adgang til og ændre data i systemet via internettet.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der kører Apache DolphinScheduler i en version ældre end 3.4.2. Det gælder især virksomheder, der bruger platformen til at styre dataflows, ETL-processer (dataoverførsler) eller automatiserede rapporterings- og analyseopgaver. Hvis din installation er tilgængelig fra internettet, er risikoen størst.
Hvad kan ske?
En angriber, der udnytter fejlen, kan uden at logge ind:
- Læse fortrolige data og konfigurationer gemt i systemet
- Ændre eller manipulere workflows og planlagte opgaver
- Potentielt kompromittere de datasystemer, som DolphinScheduler har adgang til
Selve serverens tilgængelighed (A=NONE) påvirkes ikke direkte, men konsekvenserne for fortrolighed og dataintegritet er vurderet til høj af NVD.
Hvor alvorligt er det?
Sårbarheden er rated 9.1 ud af 10 (Kritisk) af CVSS-systemet, som bruges internationalt til at måle alvorlighed. Angrebskompleksiteten er lav, der kræves ingen forudgående adgang, og ingen brugerinteraktion er nødvendig. Det betyder, at en angriber i praksis kan forsøge angrebet automatiseret og i stor skala uden særlige forberedelser.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Tjek din version: Log ind på dit DolphinScheduler-miljø og find ud af, hvilken version der kører. Er den under 3.4.2, er du sårbar.
- Opdater til version 3.4.2: Hent og installer den nyeste version fra Apache DolphinSchedulers officielle hjemmeside. Patch-noten bekræfter, at fejlen er rettet her.
- Begræns netværksadgang midlertidigt: Hvis du ikke kan opdatere med det samme, så bloker ekstern adgang til
/v2-endpointet via din firewall eller reverse proxy. - Gennemgå adgangslog: Tjek systemlogge for usædvanlig aktivitet eller uautoriserede kald til
/v2-grænsefladen. - Orienter din IT-leverandør: Hvis en ekstern partner drifter systemet for dig, kontakt dem straks og bed dem bekræfte, at opdateringen er gennemført.
Opdater inden for 24-48 timer
Med en CVSS-score på 9.1 og ingen krav til hverken login eller brugerinteraktion bør du behandle denne sårbarhed som akut. Opdater til Apache DolphinScheduler 3.4.2 hurtigst muligt — er det ikke muligt i dag, bør du som minimum afskære ekstern adgang til den berørte API-grænseflade via din firewall. Kontakt Auroa, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert.
Tidslinje
Konkrete eksempler
Uautoriseret dataadgang via API
En angriber identificerer ved hjælp af et automatiseret scanningsværktøj, at en virksomheds DolphinScheduler-installation er tilgængelig fra internettet. Via det eksperimentelle /v2-endpoint kan angriberen kalde API-funktioner uden at have et gyldigt login og hente konfigurationsdata samt gemte databaseforbindelsesoplysninger, som systemet bruger til sine dataopgaver.
Manipulation af automatiserede dataflows
En angriber ændrer uden login planlagte workflows i DolphinScheduler til at sende kopier af databehandlingsresultater til en ekstern server. Virksomheden opdager ikke angrebet, fordi systemet tilsyneladende fungerer normalt — men fortrolige forretningsdata eksfiltreres løbende over tid.
Springbræt til andre interne systemer
Da DolphinScheduler typisk har forbindelser til databaser, datalagre og cloud-tjenester, kan en angriber bruge de eksponerede API-kald til at kortlægge og forsøge at tilgå disse bagvedliggende systemer. Sårbarheden fungerer dermed som en indgang til en bredere kompromittering af virksomhedens datainfrastruktur.
Ofte stillede spørgsmål
Bruger vi overhovedet Apache DolphinScheduler?
Apache DolphinScheduler bruges typisk af teams, der arbejder med datahåndtering, business intelligence eller automatiserede rapporter. Spørg din IT-afdeling eller IT-leverandør, om det indgår i jeres infrastruktur. Det kan også køre som en del af en større dataplatform uden at være synligt for alle.
Kan vi blive angrebet, selv om systemet ikke vises på vores hjemmeside?
Ja. Hvis DolphinScheduler-serveren er tilgængelig fra internettet — fx via en bestemt port eller et internt netværk med VPN-adgang — kan angribere finde den ved hjælp af automatiserede scanningsværktøjer. Det er ikke nødvendigt, at systemet er synligt i en browser.
Hvad er en autorisationsfejl, og hvorfor er den farlig?
Autorisering handler om at kontrollere, hvem der må gøre hvad i et system. Når denne kontrol er forkert implementeret, kan en person uden de nødvendige rettigheder alligevel udføre handlinger, de ikke burde have adgang til. I dette tilfælde betyder det, at en ukendt person udefra kan læse og ændre data, som om de var administrator.
Hvad er risikoen, hvis vi venter med at opdatere?
Jo længere I venter, jo større er risikoen for, at en angriber opdager og udnytter fejlen, før I får lukket hullet. Kritiske sårbarheder uden krav om login er meget attraktive mål for automatiserede angreb. Datakompromittering kan medføre brud på GDPR-reglerne og potentielle bøder, udover skaden på jeres forretning.
Er der en hurtig løsning, hvis vi ikke kan opdatere med det samme?
Ja. En midlertidig løsning er at blokere adgang til
/v2-endpointet via jeres firewall eller reverse proxy (et system, der styrer trafik ind til serveren). Det reducerer risikoen markant, men erstatter ikke en opdatering. Kontakt jeres IT-support for at få dette sat op korrekt.Skal vi indberette dette til Datatilsynet?
Det afhænger af, om sårbarheden faktisk er blevet udnyttet, og om persondata er blevet kompromitteret. Hvis I opdager tegn på uautoriseret adgang til personoplysninger, har I som udgangspunkt 72 timers pligt til at indberette bruddet til Datatilsynet. Kontakt en juridisk eller sikkerhedsfaglig rådgiver, hvis I er i tvivl.
Ramte produkter
Apache — Dolphinscheduler
< 3.4.2
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Incorrect Authorization vulnerability of `/v2` experimental interface in Apache DolphinScheduler.
This issue affects Apache DolphinScheduler: before 3.4.2.
Users are recommended to upgrade to version 3.4.2, which fixes the issue.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
