PT-2021-22197 · Apache · Apache Airflow
Nathan Jones
·
Publicado
2021-09-09
·
Atualizado
2024-03-06
·
CVE-2021-38540
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.0.0 a 2.1.2 do Apache Airflow
Descrição
O problema diz respeito ao endpoint de importação de variáveis não estar protegido por autenticação. Isso permite que usuários não autenticados acessem o endpoint, o que pode levar à negação de serviço, divulgação de informações ou execução remota de código ao adicionar ou modificar variáveis do Airflow utilizadas em DAGs.
Recomendações
Para as versões 2.0.0 a 2.1.2 do Apache Airflow, atualize para a versão 2.1.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint de importação de variáveis até que um patch esteja disponível.
Exploit
Correção
DoS
RCE
Missing Authentication
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Airflow