PT-2020-6686 · Rabbitmq+2 · Rabbitmq+2
Adam Goldschmit
·
Publicado
2020-07-13
·
Atualizado
2024-03-06
·
CVE-2020-11982
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache Airflow versões 1.10.10 e anteriores
Descrição
A vulnerabilidade está relacionada à desserialização de dados não confiáveis no Apache Airflow, o que pode levar à execução remota de código. Um invasor, agindo remotamente, pode explorar essa vulnerabilidade inserindo uma carga maliciosa diretamente no broker, como Redis ou RabbitMQ, ao usar o CeleryExecutor. Isso pode resultar na execução de código arbitrário ou em uma negação de serviço.
Recomendações
Para as versões 1.10.10 e anteriores do Apache Airflow, considere atualizar para uma versão que inclua uma correção para esta vulnerabilidade, embora a versão corrigida específica não esteja disponível nos dados fornecidos. Como solução temporária, restrinja o acesso ao broker para minimizar o risco de exploração. Evite usar o CeleryExecutor até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
DoS
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow
Rabbitmq
Redis