Xuxiang

**Nome do software vulnerável e versões afetadas** Versões do Apache DolphinScheduler anteriores à 1.3.2 **Descrição** A vulnerabilidade permite que um usuário comum em qualquer tenant substitua a senha de outro usuário por meio da interface API. **Recomendações** Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface API para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Apache Airflow versões 1.10.10 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de comando no Apache Airflow, que pode ser explorada por um invasor remoto para executar comandos arbitrários com privilégios de superusuário. Essa vulnerabilidade está associada à falta de neutralização de elementos especiais usados no comando do sistema operacional. A vulnerabilidade foi descoberta em um dos DAGs de exemplo fornecidos com o Airflow e pode ser explorada por qualquer usuário autenticado para executar comandos arbitrários como o usuário que executa o worker ou o agendador do Airflow. **Recomendações** Para as versões 1.10.10 e anteriores do Apache Airflow, considere desativar os DAGs de exemplo definindo `load examples=False` na configuração para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.