BDU:2023-05809

Опубликовано: 28 авг. 2023

Источник: fstec

CVSS3: 5.8

CVSS2: 5.1

EPSS Низкий

Описание

Уязвимость сетевого программного средства автоматизации процессов работы с данными в HDFS Apache Airflow HDFS Provider связана с включением функций из недостоверной контролируемой области при обработке имен пакетов PyPI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные пакеты

Вендор

Apache Software Foundation

Наименование ПО

Airflow HDFS Provider

Версия ПО

до 4.1.1 (Airflow HDFS Provider)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,1)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/ggthr5pn42bn6wcr25hxnykjzh4ntw7z

https://github.com/apache/airflow/commit/dfa70b942348ba51be7594499ff54030375e4d89

https://github.com/apache/airflow/pull/33813

https://airflow.apache.org/docs/apache-airflow-providers-apache-hdfs/4.1.1/index.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-41267
CVE

EPSS

Процентиль: 65%

0.00492

Низкий

5.8 Medium

CVSS3

5.1 Medium

CVSS2

Связанные уязвимости

CVE-2023-41267

CVSS3: 7.8

nvd

больше 2 лет назад

In the Apache Airflow HDFS Provider, versions prior to 4.1.1, a documentation info pointed users to an install incorrect pip package. As this package name was unclaimed, in theory, an attacker could claim this package and provide code that would be executed when this package was installed. The Airflow team has since taken ownership of the package (neutralizing the risk), and fixed the doc strings in version 4.1.1

GHSA-5hj9-m76g-xrc8