PT-2024-1306 · Apache · Apache Airflow
Hussein Awala
+1
·
Publicado
2024-01-24
·
Atualizado
2026-02-20
·
CVE-2023-50943
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow anteriores à 2.8.1
Descrição
O problema está relacionado ao mecanismo de desserialização no Apache Airflow, permitindo que um possível invasor corrompa os dados XCom ao contornar a proteção da configuração
enable xcom pickling=False, resultando em dados corrompidos após a desserialização XCom. Este problema é considerado de baixa gravidade, pois requer que um autor de DAG o explore.Recomendações
Para resolver a vulnerabilidade, recomenda-se que os usuários atualizem para a versão 2.8.1 ou posterior, que corrige essa vulnerabilidade. Como solução alternativa temporária, considere desativar a configuração
enable xcom pickling até que um patch esteja disponível. Restrinja o acesso aos dados XCom para minimizar o risco de exploração. Evite usar a configuração enable xcom pickling=False nos pontos de extremidade da API afetados até que a vulnerabilidade seja resolvida.Correção
DoS
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow