CVE-2024-56373

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Airflow anteriores à 2.11.1

Descrição Um usuário com permissões de autor de DAG pode manipular o banco de dados do Airflow para executar código arbitrário no contexto do servidor web. Isso pode levar à execução remota de código no servidor quando um usuário visualiza informações históricas de tarefas. A funcionalidade responsável por essa vulnerabilidade, o histórico de modelos de log, está desativada por padrão na versão 2.11.1. A questão envolve Injeção de Template no Lado do Servidor (SSTI) por meio de informações compartilhadas do banco de dados.

Recomendações Atualize para o Airflow versão 2.11.1 ou posterior. Se necessitar do histórico de modelos de log, atualize para o Airflow 3. Modifique manualmente os nomes dos arquivos de log históricos caso precise visualizar logs gerados antes da última alteração no modelo de log.