PT-2021-17095 · Apache · Apache Airflow
Ian Carroll
·
Publicado
2021-02-17
·
Atualizado
2024-03-06
·
CVE-2021-26697
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Apache Airflow versão 2.0.0
Descrição
A vulnerabilidade diz respeito ao endpoint de linhagem da API Experimental obsoleta no Apache Airflow, que não estava protegido por autenticação. Isso permitia que usuários não autenticados acessassem o endpoint. O invasor precisa conhecer determinados parâmetros para passar ao endpoint e, mesmo assim, só pode obter alguns metadados sobre um DAG e uma Tarefa. Esta vulnerabilidade é considerada de baixa gravidade.
Recomendações
Para o Apache Airflow versão 2.0.0, considere desativar o acesso ao endpoint de linhagem da API Experimental obsoleta até que um patch esteja disponível. Restringir o acesso a este endpoint pode minimizar o risco de exploração. Além disso, tenha cuidado ao usar o endpoint, pois ele pode permitir acesso não autorizado a certos metadados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
DoS
Improper Authentication
Missing Authentication
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Airflow