PT-2022-25638 · Apache · Apache Airflow+1
Id_No2015429
·
Publicado
2022-11-22
·
Atualizado
2024-03-06
·
CVE-2022-40954
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow Spark Provider anteriores à 4.0.0
Versões do Apache Airflow anteriores à 2.3.0
Descrição
O problema está relacionado a uma neutralização inadequada de elementos especiais usados em um comando do sistema operacional (“injeção de comando do sistema operacional”) no Apache Airflow Spark Provider. Isso permite que um invasor leia arquivos arbitrários no contexto de execução da tarefa sem acesso de gravação aos arquivos DAG.
Recomendações
Para versões do Apache Airflow Spark Provider anteriores à 4.0.0, instale manualmente a versão 4.0.0 do Spark Provider para resolver o problema.
Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e instale manualmente o Spark Provider versão 4.0.0 para resolver o problema.
Para versões do Apache Airflow 2.3.0+ com uma versão inferior do Spark Provider instalada, instale manualmente o Spark Provider versão 4.0.0 para resolver o problema.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow
Apache Airflow Spark Provider