CVE-2026-32967
Kritisk

CVE-2026-32967: Kritisk fejl i Apache DolphinScheduler

Kritisk adgangsfejl i Apache DolphinScheduler giver angribere fuldstændig kontrol uden login – opdater straks til version 3.4.2.

CVSS Score
9.1
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

Apache DolphinScheduler er et open source-værktøj til at planlægge og automatisere dataopgaver (også kaldet workflow-automatisering). En fejl i et eksperimentelt programmeringsgrænsefladelag kaldet /v2 betyder, at systemet ikke tjekker korrekt, om en bruger har lov til at udføre bestemte handlinger. Det kaldes en autorisationsfejl (CWE-863). Resultatet er, at en angriber uden brugernavn og adgangskode kan få adgang til og ændre data i systemet via internettet.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og organisationer, der kører Apache DolphinScheduler i en version ældre end 3.4.2. Det gælder især virksomheder, der bruger platformen til at styre dataflows, ETL-processer (dataoverførsler) eller automatiserede rapporterings- og analyseopgaver. Hvis din installation er tilgængelig fra internettet, er risikoen størst.

Hvad kan ske?

En angriber, der udnytter fejlen, kan uden at logge ind:

  • Læse fortrolige data og konfigurationer gemt i systemet
  • Ændre eller manipulere workflows og planlagte opgaver
  • Potentielt kompromittere de datasystemer, som DolphinScheduler har adgang til

Selve serverens tilgængelighed (A=NONE) påvirkes ikke direkte, men konsekvenserne for fortrolighed og dataintegritet er vurderet til høj af NVD.

Hvor alvorligt er det?

Sårbarheden er rated 9.1 ud af 10 (Kritisk) af CVSS-systemet, som bruges internationalt til at måle alvorlighed. Angrebskompleksiteten er lav, der kræves ingen forudgående adgang, og ingen brugerinteraktion er nødvendig. Det betyder, at en angriber i praksis kan forsøge angrebet automatiseret og i stor skala uden særlige forberedelser.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Tjek din version: Log ind på dit DolphinScheduler-miljø og find ud af, hvilken version der kører. Er den under 3.4.2, er du sårbar.
  2. Opdater til version 3.4.2: Hent og installer den nyeste version fra Apache DolphinSchedulers officielle hjemmeside. Patch-noten bekræfter, at fejlen er rettet her.
  3. Begræns netværksadgang midlertidigt: Hvis du ikke kan opdatere med det samme, så bloker ekstern adgang til /v2-endpointet via din firewall eller reverse proxy.
  4. Gennemgå adgangslog: Tjek systemlogge for usædvanlig aktivitet eller uautoriserede kald til /v2-grænsefladen.
  5. Orienter din IT-leverandør: Hvis en ekstern partner drifter systemet for dig, kontakt dem straks og bed dem bekræfte, at opdateringen er gennemført.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Med en CVSS-score på 9.1 og ingen krav til hverken login eller brugerinteraktion bør du behandle denne sårbarhed som akut. Opdater til Apache DolphinScheduler 3.4.2 hurtigst muligt — er det ikke muligt i dag, bør du som minimum afskære ekstern adgang til den berørte API-grænseflade via din firewall. Kontakt Auroa, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert.

Tidslinje

17/06/2026
CVE offentliggjort
NVD offentliggør CVE-2026-32967 med en kritisk CVSS-score på 9.1. Apache DolphinScheduler bekræfter fejlen i /v2-grænsefladen og anbefaler opgradering til version 3.4.2.
17/06/2026
Patch frigivet (version 3.4.2)
Apache udgiver version 3.4.2, som indeholder rettelsen til autorisationsfejlen. Alle brugere opfordres til at opgradere øjeblikkeligt.
18/06/2026
Proof-of-concept forventet tilgængeligt
Erfaringsmæssigt bliver tekniske detaljer om kritiske API-autorisationsfejl hurtigt delt i sikkerhedsmiljøer, hvilket øger risikoen for udnyttelse i de første dage efter offentliggørelse.
19/06/2026
Automatiserede skanninger forventes
Kritiske sårbarheder uden krav om login bliver typisk inden for få dage målrettet af automatiserede angrebsværktøjer, der scanner internettet for sårbare installationer.

Konkrete eksempler

Uautoriseret dataadgang via API

En angriber identificerer ved hjælp af et automatiseret scanningsværktøj, at en virksomheds DolphinScheduler-installation er tilgængelig fra internettet. Via det eksperimentelle /v2-endpoint kan angriberen kalde API-funktioner uden at have et gyldigt login og hente konfigurationsdata samt gemte databaseforbindelsesoplysninger, som systemet bruger til sine dataopgaver.

Manipulation af automatiserede dataflows

En angriber ændrer uden login planlagte workflows i DolphinScheduler til at sende kopier af databehandlingsresultater til en ekstern server. Virksomheden opdager ikke angrebet, fordi systemet tilsyneladende fungerer normalt — men fortrolige forretningsdata eksfiltreres løbende over tid.

Springbræt til andre interne systemer

Da DolphinScheduler typisk har forbindelser til databaser, datalagre og cloud-tjenester, kan en angriber bruge de eksponerede API-kald til at kortlægge og forsøge at tilgå disse bagvedliggende systemer. Sårbarheden fungerer dermed som en indgang til en bredere kompromittering af virksomhedens datainfrastruktur.

Ofte stillede spørgsmål

Ramte produkter

Apache — Dolphinscheduler

< 3.4.2

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-863

Original NVD-beskrivelse (engelsk)

Incorrect Authorization vulnerability of `/v2` experimental interface in Apache DolphinScheduler.

This issue affects Apache DolphinScheduler: before 3.4.2.

Users are recommended to upgrade to version 3.4.2, which fixes the issue.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-32967
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.