PT-2020-6687 · Apache · Apache Airflow
Junghan Lee
·
Publicado
2020-12-21
·
Atualizado
2024-03-06
·
CVE-2020-17526
CVSS v4.0
8.3
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow anteriores à 1.10.14
Descrição
O problema está relacionado à validação incorreta de sessões no servidor web do Apache Airflow, causada pelo uso de uma configuração padrão que inclui uma
secret key predefinida. Isso permite que um usuário mal-intencionado acesse um servidor web do Airflow não autorizado em um site diferente, utilizando uma sessão do site original. O problema decorre do uso de uma chave temporária no arquivo de configuração padrão airflow.cfg, que é o mesmo para todas as instalações. Como resultado, um cookie de sessão validado em um servidor Airflow também é válido para outro servidor.Recomendações
Para versões do Apache Airflow anteriores à 1.10.14, altere o valor padrão da configuração
[webserver] secret key para impedir o acesso não autorizado.Como solução temporária, considere restringir o acesso ao servidor web do Airflow até que o problema seja resolvido.
Correção
Improper Authentication
Improper Privilege Management
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Airflow