Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04744

Опубликовано: 13 июн. 2024
Источник: fstec
CVSS3: 3.3
CVSS2: 1.7
EPSS Низкий

Описание

Уязвимость программное обеспечение создания, мониторинга и оркестрации сценариев обработки данных Apache Airflow связана с раскрытием информации посредством кэширования браузера. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию через заголовок Cache-Control

Вендор

Apache Software Foundation

Наименование ПО

Airflow

Версия ПО

до 2.9.2 (Airflow)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,7)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- Добавить "no-store" в Cache-Control ко всему динамически генерируемому контенту
Использование рекомендаций:
https://lists.apache.org/thread/cg1j28lk0fhzthk0of1g7vy7p2n1j7nr

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 28%
0.00102
Низкий

3.3 Low

CVSS3

1.7 Low

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-25142

CVSS3: 5.5
nvd
больше 1 года назад

Use of Web Browser Cache Containing Sensitive Information vulnerability in Apache Airflow.  Airflow did not return "Cache-Control" header for dynamic content, which in case of some browsers could result in potentially storing sensitive data in local cache of the browser. This issue affects Apache Airflow: before 2.9.2. Users are recommended to upgrade to version 2.9.2, which fixes the issue.

debian логотип

CVE-2024-25142

CVSS3: 5.5
debian
больше 1 года назад

Use of Web Browser Cache Containing Sensitive Information vulnerabilit ...

github логотип

GHSA-9xpj-62mm-24h2

github
больше 1 года назад

Apache Airflow does not return the "Cache-Control" header for dynamic content

EPSS

Процентиль: 28%
0.00102
Низкий

3.3 Low

CVSS3

1.7 Low

CVSS2