PT-2024-1970 · Apache · Apache Airflow
Alex Liotta
+3
·
Publicado
2024-02-27
·
Atualizado
2025-05-06
·
CVE-2024-27906
CVSS v3.1
5.9
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Apache Airflow anteriores à 2.8.2
Descrição
A vulnerabilidade permite que usuários autenticados visualizem o código DAG e os erros de importação de DAGs para os quais não têm permissão de visualização, tanto pela API quanto pela interface do usuário. Isso está relacionado à divulgação de informações na área de dados de erros. A exploração da vulnerabilidade pode permitir que um invasor remoto acesse o código-fonte dos DAGs.
Recomendações
Para versões do Apache Airflow anteriores à 2.8.2, atualize para a versão 2.8.2 ou mais recente para mitigar o risco associado a esta vulnerabilidade. Como solução temporária, considere restringir o acesso à API e à interface do usuário para usuários autenticados até que um patch esteja disponível.
Correção
Missing Authorization
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Airflow