Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03288

Опубликовано: 18 апр. 2024
Источник: fstec
CVSS3: 4.3
CVSS2: 4
EPSS Низкий

Описание

Уязвимость программное обеспечение создания, мониторинга и оркестрации сценариев обработки данных Apache Airflow связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, несанкционированный доступ к защищаемой информации

Вендор

Apache Software Foundation

Наименование ПО

Apache Airflow

Версия ПО

от 2.7.0 до 2.9.0 (Apache Airflow)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- изменить конфигурацию "expose_config" на False.
Использование рекомендаций производителя:
https://lists.apache.org/thread/pz6vg7wcjk901rmsgt86h76g6kfcgtk3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00025
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVSS3: 4.3
nvd
больше 1 года назад

Airflow versions 2.7.0 through 2.8.4 have a vulnerability that allows an authenticated user to see sensitive provider configuration via the "configuration" UI page when "non-sensitive-only" was set as "webserver.expose_config" configuration (The celery provider is the only community provider currently that has sensitive configurations). You should migrate to Airflow 2.9 or change your "expose_config" configuration to False as a workaround. This is similar, but different to CVE-2023-46288 https://github.com/advisories/GHSA-9qqg-mh7c-chfq which concerned API, not UI configuration page.

CVSS3: 4.3
debian
больше 1 года назад

Airflow versions 2.7.0 through 2.8.4 have a vulnerability that allows ...

CVSS3: 4.3
github
больше 1 года назад

Apache Airflow: Sensitive configuration for providers displayed when "non-sensitive-only" config used

EPSS

Процентиль: 5%
0.00025
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2