PT-2022-25269 · Apache · Apache Airflow Pig Provider+1
Id_No2015429
·
Publicado
2022-11-22
·
Atualizado
2025-04-29
·
CVE-2022-40189
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow Pig Provider anteriores à 4.0.0
Versões do Apache Airflow anteriores à 2.3.0
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, também conhecido como “injeção de comando do sistema operacional”. Isso permite que um invasor controle os comandos executados no contexto de execução da tarefa sem precisar de acesso de gravação aos arquivos DAG.
Recomendações
Para versões do Apache Airflow Pig Provider anteriores à 4.0.0, instale manualmente a versão 4.0.0 do Pig Provider para resolver o problema.
Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e, em seguida, instale manualmente o Pig Provider versão 4.0.0 para resolver o problema.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow
Apache Airflow Pig Provider