PT-2024-14253 · Airflow · Airflow
Hussein Awala
·
Publicado
2024-01-24
·
Atualizado
2024-03-06
·
CVE-2023-51702
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Airflow 5.2.0 a 6.x
Versões do Airflow 2.3.0 a 2.6.0
Descrição
O worker do Airflow serializa um arquivo de configuração do Kubernetes como um dicionário e o envia ao triggerer, armazenando-o nos metadados sem qualquer criptografia ao usar o modo deferrable. Isso permite que qualquer pessoa com acesso aos metadados ou ao log do acionador obtenha o arquivo de configuração e o utilize para acessar o cluster do Kubernetes. O dicionário de configuração será registrado como texto simples no serviço do acionador, sem mascaramento, nas versões do Airflow entre 2.3.0 e 2.6.0.
Recomendações
Para as versões do Airflow 5.2.0 a 6.x, atualize para a versão 7.0.0 para corrigir o problema.
Para as versões do Airflow 2.3.0 a 2.6.0, atualize para a versão 7.0.0 para corrigir o problema e impedir o registro do dicionário de configuração em texto simples.
Como solução alternativa temporária, considere restringir o acesso aos metadados e aos logs do acionador para minimizar o risco de exploração.
Correção
Cleartext Storage of Sensitive Information
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Airflow