PT-2022-25664 · Apache · Apache Airflow+1
Id_No2015429
·
Publicado
2022-11-22
·
Atualizado
2024-03-06
·
CVE-2022-41131
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow Hive Provider anteriores à 4.1.0
Versões do Apache Airflow anteriores à 2.3.0
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, também conhecido como “injeção de comando do sistema operacional”. Isso permite que um invasor execute comandos arbitrários no contexto de execução da tarefa sem precisar de acesso de gravação aos arquivos DAG.
Recomendações
Para versões do Apache Airflow Hive Provider anteriores à 4.1.0, instale manualmente a versão 4.1.0 do Hive Provider para resolver o problema.
Para versões do Apache Airflow anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior e, em seguida, instale manualmente o Hive Provider versão 4.1.0 para resolver o problema.
Para versões do Airflow 2.3.0+ com uma versão inferior do Hive Provider instalada, instale manualmente o Hive Provider versão 4.1.0 para eliminar a vulnerabilidade.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow
Apache Airflow Hive Provider