PT-2022-24256 · Apache · Apache Airflow
Harry Sintonen
·
Publicado
2022-09-02
·
Atualizado
2026-02-20
·
CVE-2022-38170
CVSS v4.0
5.7
Média
| Vetor | AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow anteriores à 2.3.4
Descrição
O problema está relacionado a uma configuração insegura do umask no Apache Airflow quando executado com o sinalizador
--daemon. Isso pode levar a uma condição de corrida, resultando em arquivos com permissão de gravação para todos no diretório raiz do Airflow. Usuários locais poderiam explorar essa vulnerabilidade para expor conteúdos de arquivos arbitrários por meio do servidor web.Recomendações
Para versões anteriores à 2.3.4, atualize para a versão 2.3.4 ou posterior para resolver o problema. Como solução temporária, considere executar o Airflow sem o sinalizador
--daemon até que a atualização seja aplicada. Restrinja o acesso ao diretório raiz do Airflow para minimizar o risco de exploração.Correção
DoS
Incorrect Permission
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Airflow