CVE-2024-45784

Nome do software vulnerável e versões afetadas:

Versões do Apache Airflow anteriores à 2.10.3

Descrição:

O problema está relacionado à exposição de variáveis de configuração confidenciais nos registros de tarefas. Isso poderia permitir que usuários não autorizados acessassem dados críticos, comprometendo potencialmente a segurança da implantação do Airflow. O número estimado de dispositivos potencialmente afetados em todo o mundo é superior a 54.000, conforme indicado por uma pesquisa no ZoomEye.

Recomendações:

Para resolver o problema, os usuários devem atualizar para o Airflow 2.10.3 ou a versão mais recente. Se você suspeitar que os autores de DAGs possam ter registrado os valores secretos nos logs e que seus logs não estejam protegidos adicionalmente, também é recomendável que você atualize esses segredos.