PT-2024-24381 · Apache · Apache Airflow

Jens Scheffler

Publicado

2024-05-14

Atualizado

2024-12-11

CVE-2024-32077

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Apache Airflow versão 2.9.0

Descrição

A vulnerabilidade permite que um invasor autenticado injete dados maliciosos nos logs das instâncias de tarefa. Trata-se de uma vulnerabilidade de segurança crítica que permite que invasores injetem dados nos logs das instâncias de tarefa.

Recomendações

Para o Apache Airflow versão 2.9.0, atualize para a versão 2.9.1 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso aos logs das instâncias de tarefa até que a atualização seja aplicada.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

BIT-AIRFLOW-2024-32077

CVE-2024-32077

GHSA-52GM-QMG3-R4QP

PYSEC-2024-264

Produtos afetados

Apache Airflow

PT-2024-24381 · Apache · Apache Airflow

CVE-2024-32077

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 14