PT-2022-24498 · Apache · Apache Airflow+1
Id_No2015429
·
Publicado
2022-11-22
·
Atualizado
2025-04-29
·
CVE-2022-38649
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow Pinot Provider anteriores à 4.0.0
Versões do Apache Airflow anteriores à 2.3.0
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, também conhecida como “injeção de comando do sistema operacional”. Isso permite que um invasor controle os comandos executados no contexto de execução da tarefa sem precisar de acesso de gravação aos arquivos DAG.
Recomendações
Para versões do Apache Airflow Pinot Provider anteriores à 4.0.0, instale manualmente a versão 4.0.0 do Pinot Provider para resolver o problema.
Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e, em seguida, instale manualmente a versão 4.0.0 do Pinot Provider para resolver o problema.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow
Apache Airflow Pig Provider