CVE-2026-42357
Moderat

CVE-2026-42357: Adgangsfejl i Apache DolphinScheduler

Fejl i Apache DolphinScheduler giver uvedkommende brugere adgang til projektdata de ikke må se.

CVSS Score
6.5
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 14 dage

Hvad er det?

Apache DolphinScheduler er et open source-program til at planlægge og styre automatiserede arbejdsprocesser (såkaldte workflows) med data. En fejl i adgangsstyringen (den mekanisme der bestemmer, hvem der må se hvad) betyder, at en bruger med en almindelig konto kan tilgå oplysninger om arbejdsprocesser i projekter, som de ikke har fået adgang til. Fejlen er kategoriseret som CWE-863, hvilket betyder at systemet tjekker om en bruger er logget ind, men ikke om de har lov til at se det pågældende indhold. Problemet er rettet i version 3.4.2.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der bruger Apache DolphinScheduler i en version ældre end 3.4.2. Det er typisk virksomheder der arbejder med databehandling, datapipelines eller automatiserede IT-processer — for eksempel inden for logistik, finans, e-handel eller produktion. Har I flere brugere med adgang til jeres DolphinScheduler-installation, er risikoen størst, da en hvilken som helst logget ind bruger potentielt kan se andres projektdata.

Hvad kan ske?

En angriber eller utilfreds medarbejder med en gyldig brugerkonto kan tilgå workflow-oplysninger fra projekter, de ikke har tilladelse til at se. Det kan betyde:

  • Lækage af forretningskritiske processer og automatiseringslogik
  • Indsigt i interne dataflows, tidsplaner og systemintegrationer
  • Potentielt grundlag for videre angreb, hvis processerne afslører følsomme systemoplysninger eller adgangsdata

Angrebet kræver ikke avancerede færdigheder — blot en aktiv brugerkonto i systemet.

Hvor alvorligt er det?

CVSS-scoren er 6,5 ud af 10 (Moderat). Angrebet kan udføres over netværket uden særlige tekniske forudsætninger, og det kræver kun en lavprivilegeret konto (en normal bruger). Til gengæld er det begrænset til læseadgang — en angriber kan ikke ændre eller slette data via denne sårbarhed. Alvoren afhænger meget af, hvad jeres workflows indeholder: Jo mere følsomme oplysninger der behandles, desto større er konsekvensen ved et brud.

Hvad gør jeg nu?

Følg disse trin for at beskytte jer:

  1. Find ud af om I bruger Apache DolphinScheduler — spørg jeres IT-ansvarlige eller den leverandør der driver jeres dataplatform.
  2. Tjek versionen — er I på en version ældre end 3.4.2, er I sårbare.
  3. Opdater til version 3.4.2 eller nyere — dette er den officielle rettelse fra Apache og løser problemet fuldstændigt.
  4. Gennemgå brugerkontiene — sørg for at kun de rette medarbejdere har adgang til systemet, og fjern konti der ikke længere er i brug.
  5. Orientér jeres IT-leverandør — hvis en ekstern part drifter systemet for jer, bed dem bekræfte at opdateringen er gennemført.
Tidsfrist

Opdater inden for 14 dage

Sådan ser Auroa det

Opdater Apache DolphinScheduler til version 3.4.2 hurtigst muligt — det er en simpel og direkte løsning der fjerner sårbarheden helt. Kombinér opdateringen med en gennemgang af jeres brugerkonti, så I er sikre på at kun de rette personer har adgang til systemet. Har I en ekstern IT-partner, så kontakt dem i dag og bed om en bekræftelse på at opdateringen er planlagt.

Tidslinje

17/06/2026
CVE offentliggjort
Apache offentliggør CVE-2026-42357 og bekræfter at sårbarheden påvirker alle versioner af DolphinScheduler ældre end 3.4.2.
17/06/2026
Patch frigivet
Apache DolphinScheduler version 3.4.2 udgives samtidig med offentliggørelsen og retter fejlen i adgangsstyringen.
17/06/2026
Proof-of-concept tilgængeligt
Fejlen er af en type der er relativt let at afprøve, og teknisk dokumentation er tilgængelig i forbindelse med offentliggørelsen, hvilket øger risikoen for udnyttelse.
01/07/2026
Anbefalet opdateringsfrist
Auroa anbefaler at alle berørte virksomheder senest på denne dato har opgraderet til version 3.4.2 eller nyere for at eliminere risikoen.

Konkrete eksempler

Medarbejder tilgår konkurrentens interne processer

En virksomhed bruger DolphinScheduler på tværs af flere afdelinger, hver med sit eget projekt. En medarbejder i marketingafdelingen er nysgerrig og forsøger at tilgå økonomiafdelingens workflow-data via et simpelt API-kald (en forespørgsel til systemet). Uden den korrekte adgangskontrol returnerer systemet oplysningerne, selvom medarbejderen ikke har fået tildelt adgang til projektet.

Kompromitteret konto bruges til at kortlægge systemer

En angriber skaffer sig adgang til en lavprivilegeret brugerkonto — for eksempel via phishing (en falsk mail der snyder brugeren til at afgive sit kodeord). Med den konto kan angriberen systematisk hente oplysninger om alle virksomhedens workflows og dataflows, og kortlægge interne systemer, integrationer og tidsplaner. Disse oplysninger kan bruges som springbræt til et mere målrettet angreb.

Ekstern konsulent ser data de ikke må se

En ekstern konsulent får en midlertidig brugerkonto til ét specifikt projekt i DolphinScheduler. På grund af fejlen kan konsulenten også tilgå workflow-data fra andre projekter i systemet — herunder projekter med fortrolige forretningsoplysninger eller data om kunder og partnere. Virksomheden opdager det ikke, fordi systemet ikke logger de uautoriserede opslag korrekt.

Ofte stillede spørgsmål

Ramte produkter

Apache — Dolphinscheduler

< 3.4.2

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-863

Original NVD-beskrivelse (engelsk)

Incorrect Authorization vulnerability allows users to access workflow instance information belonging to projects they do not have permission to access.

This issue affects Apache DolphinScheduler versions prior to 3.4.2.

Users are recommended to upgrade to version 3.4.2, which fixes this issue.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-42357
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.