PT-2020-6601 · Apache · Apache Airflow
Xuxiang
·
Publicado
2020-07-16
·
Atualizado
2025-10-23
·
CVE-2020-11978
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Apache Airflow versões 1.10.10 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando no Apache Airflow, que pode ser explorada por um invasor remoto para executar comandos arbitrários com privilégios de superusuário. Essa vulnerabilidade está associada à falta de neutralização de elementos especiais usados no comando do sistema operacional. A vulnerabilidade foi descoberta em um dos DAGs de exemplo fornecidos com o Airflow e pode ser explorada por qualquer usuário autenticado para executar comandos arbitrários como o usuário que executa o worker ou o agendador do Airflow.
Recomendações
Para as versões 1.10.10 e anteriores do Apache Airflow, considere desativar os DAGs de exemplo definindo
load examples=False na configuração para minimizar o risco de exploração.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
DoS
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Airflow