PT-2020-15030 · Apache · Apache Airflow

Ali Al-Habsi

Publicado

2020-12-11

Atualizado

2024-03-06

CVE-2020-17515

CVSS v3.1

6.1

Média

Vetor

AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Versões do Apache Airflow anteriores à 1.10.15

Descrição

O problema está relacionado a uma exploração de XSS por meio do parâmetro origin passado a determinados endpoints, como ‘/trigger’.

Recomendações

Para versões anteriores à 1.10.15, atualize para a versão 1.10.15 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso ao endpoint vulnerável ‘/trigger’ até que um patch esteja disponível.

Evite usar o parâmetro origin no endpoint da API afetado até que o problema seja resolvido.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

BIT-AIRFLOW-2020-17515

CVE-2020-17515

GHSA-86VP-X3PR-79RX

PYSEC-2020-21

Apache Airflow