Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06963

Опубликовано: 14 нояб. 2022
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость параметра run_id функционала Example Dags программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды

Вендор

Apache Software Foundation

Наименование ПО

Airflow

Версия ПО

до 2.4.0 (Airflow)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности включения dag-примеров, позволяющих использовать пользовательский интерфейс для выполнения команд;
- использование антивирусных средств для детектирования и нейтрализации программ, эксплуатирующих уязвимость;
- использование средств межсетевого экранирования с целью ограничения возможности доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/apache/airflow/pull/25960

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93736
Критический

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-40127

CVSS3: 8.8
nvd
около 3 лет назад

A vulnerability in Example Dags of Apache Airflow allows an attacker with UI access who can trigger DAGs, to execute arbitrary commands via manually provided run_id parameter. This issue affects Apache Airflow Apache Airflow versions prior to 2.4.0.

debian логотип

CVE-2022-40127

CVSS3: 8.8
debian
около 3 лет назад

A vulnerability in Example Dags of Apache Airflow allows an attacker w ...

github логотип

GHSA-6pw3-8h9w-32gc

CVSS3: 8.8
github
около 3 лет назад

Apache Airflow vulnerable to OS Command Injection via example DAGs

EPSS

Процентиль: 100%
0.93736
Критический

8.8 High

CVSS3

10 Critical

CVSS2