PT-2021-17037 · Apache · Apache Airflow
Ian Carroll
·
Publicado
2021-02-17
·
Atualizado
2024-03-06
·
CVE-2021-26559
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Apache Airflow versão 2.0.0
Descrição
O problema está relacionado a um controle de acesso inadequado no endpoint de configurações da API estável do Apache Airflow. Isso permite que usuários com a função de Visualizador ou Usuário obtenham configurações do Airflow, incluindo informações confidenciais, mesmo quando o
[webserver] expose config está definido como False no airflow.cfg. Essa vulnerabilidade possibilitou um ataque de escalonamento de privilégios.Recomendações
Para o Apache Airflow versão 2.0.0, considere restringir o acesso ao endpoint de configurações para impedir que usuários não autorizados obtenham informações confidenciais até que um patch esteja disponível. Como solução alternativa temporária, revise e ajuste a configuração
[webserver] expose config no airflow.cfg para garantir que esteja configurada corretamente para restringir o acesso a configurações confidenciais.Correção
Improper Access Control
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Airflow