BDU:2023-04368

Опубликовано: 26 мая 2023

Источник: fstec

CVSS3: 7.2

CVSS2: 9

EPSS Низкий

Описание

Уязвимость сетевого программного средства Apache Airflow CNCF Kubernetes Provider связана с недостатками процедуры нейтрализации особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Airflow CNCF Kubernetes Provider

Версия ПО

от 5.0.0 до 7.0.0 (Airflow CNCF Kubernetes Provider)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://lists.apache.org/thread/n1vpgl6h2qsdm52o9m2tx1oo86tl4gnq

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://lists.apache.org/thread/n1vpgl6h2qsdm52o9m2tx1oo86tl4gnq

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-33234
CVE

EPSS

Процентиль: 52%

0.00289

Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2023-33234

CVSS3: 7.2

nvd

больше 2 лет назад

Arbitrary code execution in Apache Airflow CNCF Kubernetes provider version 5.0.0 allows user to change xcom sidecar image and resources via Airflow connection. In order to exploit this weakness, a user would already need elevated permissions (Op or Admin) to change the connection object in this manner. Operators should upgrade to provider version 7.0.0 which has removed the vulnerability.

GHSA-2rx4-9f5h-9gjf

CVSS3: 7.2

github

больше 2 лет назад

Apache Airflow CNCF Kubernetes Provider: KubernetesPodOperator RCE via connection configuration

EPSS

Процентиль: 52%

0.00289

Низкий

7.2 High

CVSS3

9 Critical

CVSS2