PT-2022-12315 · Apache · Apache Airflow
Franco Cano Erazo
·
Publicado
2022-01-20
·
Atualizado
2024-03-06
·
CVE-2021-45230
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow anteriores à 2.2.0
Descrição
O problema afeta usuários com permissões “can create” em execuções de DAG, permitindo que criem execuções de DAG para DAGs para os quais não possuem permissões de “edit”. Trata-se de um caso específico em que as permissões do usuário não correspondem ao controle de acesso esperado.
Recomendações
Para versões anteriores à 2.2.0, atualize para a versão 2.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir as permissões “can create” em execuções de DAG apenas aos usuários que também tenham permissões de “edit” para os respectivos DAGs.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow