Id_No2015429

Pesquisador de3H Security Team
#2561de 53,635
96.7CVSS total
Vulnerabilidades · 12
Média
4
Alta
2
Crítica
6
PT-2023-8382
5.3
2023-10-23
Apache · Apache Airflow · CVE-2023-46288
**Name of the Vulnerable Software and Affected Versions** Apache Airflow versions 2.4.0 through 2.7.0 **Description** The issue is related to the exposure of sensitive information in Apache Airflow, which could allow a remote attacker to obtain confidential information. **Recommendations** For Apache Airflow versions 2.4.0 through 2.7.0, update to a version that contains a fix for this issue to prevent exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.
PT-2023-4419
8.7
2023-08-11
Apache · Apache Airflow Drill Provider · CVE-2023-39553
**Name of the Vulnerable Software and Affected Versions** Apache Airflow Drill Provider versions prior to 2.4.3 **Description** The issue is related to improper input validation in Apache Airflow Drill Provider, allowing an attacker to pass malicious parameters when establishing a connection with DrillHook. This gives the attacker an opportunity to read files on the Airflow server. **Recommendations** For versions prior to 2.4.3, it is recommended to upgrade to a version that is not affected. As a temporary workaround, consider restricting access to the DrillHook connection to minimize the risk of exploitation.
PT-2023-25319
9.8
2023-07-03
Apache · Apache Airflow Hive Provider · CVE-2023-35797
**Name of the Vulnerable Software and Affected Versions** Apache Airflow Hive Provider versions prior to 6.1.1 **Description** The issue is related to improper input validation, which allows bypassing a security check, potentially leading to remote code execution (RCE) via the `principal` parameter. This can be exploited if an attacker has access to modify connection details. **Recommendations** For versions prior to 6.1.1, update the provider version to 6.1.1 to avoid this issue. As a temporary workaround, consider restricting access to modifying connection details to minimize the risk of exploitation.
PT-2023-3656
4.3
2023-06-26
Apache · Apache Airflow Mysql Provider · CVE-2023-35798
**Name of the Vulnerable Software and Affected Versions** Apache Airflow ODBC Provider versions prior to 4.0.0 Apache Airflow MSSQL Provider versions prior to 3.4.1 **Description** The issue is related to insufficient input validation in the Apache Airflow MSSQL Provider and Airflow ODBC Provider modules. This allows a remote attacker to access protected information. The vulnerability is considered low because it requires DAG code to use `get sqlalchemy connection` and someone with access to connection resources to update the connection and exploit it. **Recommendations** For Apache Airflow ODBC Provider versions prior to 4.0.0, upgrade to a version that is not affected. For Apache Airflow MSSQL Provider versions prior to 3.4.1, upgrade to a version that is not affected. As a temporary workaround, consider restricting access to the `get sqlalchemy connection` function until a patch is available.
PT-2023-20253
9.8
2023-02-24
Apache · Apache Airflow Hive Provider · CVE-2023-25696
**Name of the Vulnerable Software and Affected Versions** Apache Airflow Hive Provider versions prior to 5.1.3 **Description** The issue is related to an Improper Input Validation vulnerability in the Apache Airflow Hive Provider. **Recommendations** For versions prior to 5.1.3, update to version 5.1.3 or later to resolve the issue.
PT-2023-1279
10
2023-01-09
Apache · Apache Airflow Mysql Provider · CVE-2023-22884
**Name of the Vulnerable Software and Affected Versions** Apache Airflow versions prior to 2.5.1 Apache Airflow MySQL Provider versions prior to 4.0.0 **Description** The issue is related to the improper neutralization of special elements used in a command, which can lead to command injection. This can allow a remote attacker to impact the confidentiality, integrity, and availability of protected information. **Recommendations** For Apache Airflow versions prior to 2.5.1, update to version 2.5.1 or later. For Apache Airflow MySQL Provider versions prior to 4.0.0, update to version 4.0.0 or later. As a temporary workaround, consider restricting access to sensitive commands and parameters to minimize the risk of exploitation.
PT-2022-27865
9.8
2022-12-20
Apache · Apache Airflow Hive Provider · CVE-2022-46421
**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow Hive Provider anteriores à 5.0.0 **Descrição** O problema está relacionado a uma vulnerabilidade de neutralização inadequada de elementos especiais usados em um comando (“injeção de comando”) no Apache Airflow Hive Provider. Essa vulnerabilidade permite a injeção de comando, o que pode levar à execução não autorizada de comandos do sistema. **Recomendações** Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a comandos confidenciais e recursos do sistema para minimizar o risco de exploração.
PT-2022-24498
9.8
2022-11-22
Apache · Apache Airflow · CVE-2022-38649
**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow Pinot Provider anteriores à 4.0.0 Versões do Apache Airflow anteriores à 2.3.0 **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, também conhecida como “injeção de comando do sistema operacional”. Isso permite que um invasor controle os comandos executados no contexto de execução da tarefa sem precisar de acesso de gravação aos arquivos DAG. **Recomendações** Para versões do Apache Airflow Pinot Provider anteriores à 4.0.0, instale manualmente a versão 4.0.0 do Pinot Provider para resolver o problema. Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e, em seguida, instale manualmente a versão 4.0.0 do Pinot Provider para resolver o problema.
PT-2022-25664
7.8
2022-11-22
Apache · Apache Airflow · CVE-2022-41131
**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow Hive Provider anteriores à 4.1.0 Versões do Apache Airflow anteriores à 2.3.0 **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, também conhecido como “injeção de comando do sistema operacional”. Isso permite que um invasor execute comandos arbitrários no contexto de execução da tarefa sem precisar de acesso de gravação aos arquivos DAG. **Recomendações** Para versões do Apache Airflow Hive Provider anteriores à 4.1.0, instale manualmente a versão 4.1.0 do Hive Provider para resolver o problema. Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e, em seguida, instale manualmente o Hive Provider versão 4.1.0 para resolver o problema. Para versões do Airflow 2.3.0+ com uma versão inferior do Hive Provider instalada, instale manualmente o Hive Provider versão 4.1.0 para eliminar a vulnerabilidade.
PT-2022-25638
5.5
2022-11-22
Apache · Apache Airflow · CVE-2022-40954
**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow Spark Provider anteriores à 4.0.0 Versões do Apache Airflow anteriores à 2.3.0 **Descrição** O problema está relacionado a uma neutralização inadequada de elementos especiais usados em um comando do sistema operacional (“injeção de comando do sistema operacional”) no Apache Airflow Spark Provider. Isso permite que um invasor leia arquivos arbitrários no contexto de execução da tarefa sem acesso de gravação aos arquivos DAG. **Recomendações** Para versões do Apache Airflow Spark Provider anteriores à 4.0.0, instale manualmente a versão 4.0.0 do Spark Provider para resolver o problema. Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e instale manualmente o Spark Provider versão 4.0.0 para resolver o problema. Para versões do Apache Airflow 2.3.0+ com uma versão inferior do Spark Provider instalada, instale manualmente o Spark Provider versão 4.0.0 para resolver o problema.
PT-2022-25269
9.8
2022-11-22
Apache · Apache Airflow Pig Provider · CVE-2022-40189
**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow Pig Provider anteriores à 4.0.0 Versões do Apache Airflow anteriores à 2.3.0 **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, também conhecido como “injeção de comando do sistema operacional”. Isso permite que um invasor controle os comandos executados no contexto de execução da tarefa sem precisar de acesso de gravação aos arquivos DAG. **Recomendações** Para versões do Apache Airflow Pig Provider anteriores à 4.0.0, instale manualmente a versão 4.0.0 do Pig Provider para resolver o problema. Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e, em seguida, instale manualmente o Pig Provider versão 4.0.0 para resolver o problema.
PT-2022-27052
6.1
2022-11-02
Apache · Apache Airflow · CVE-2022-43982
**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow anteriores à 2.4.2 **Descrição** O problema diz respeito a um ataque XSS por meio do argumento de consulta `origin` na tela “Trigger DAG with config”. **Recomendações** Para versões anteriores à 2.4.2, atualize para a versão 2.4.2 ou posterior para resolver o problema.