Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10894

Опубликовано: 15 нояб. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Apache Airflow связана с раскрытием информации в отладочных сообщениях. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Apache Software Foundation

Наименование ПО

Airflow

Версия ПО

до 2.10.3 (Airflow)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://lists.apache.org/thread/k2jm55jztlbmk4zrlh10syvq3n57hl4h
https://github.com/apache/airflow/pull/43040/commits/ed9f74becb0c4385ad976ab46a4ad2ce989154c0
https://github.com/apache/airflow/releases/tag/2.10.3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 73%
0.00782
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-45784

CVSS3: 7.5
nvd
около 1 года назад

Apache Airflow versions before 2.10.3 contain a vulnerability that could expose sensitive configuration variables in task logs. This vulnerability allows DAG authors to unintentionally or intentionally log sensitive configuration variables. Unauthorized users could access these logs, potentially exposing critical data that could be exploited to compromise the security of the Airflow deployment. In version 2.10.3, secrets are now masked in task logs to prevent sensitive configuration variables from being exposed in the logging output. Users should upgrade to Airflow 2.10.3 or the latest version to eliminate this vulnerability. If you suspect that DAG authors could have logged the secret values to the logs and that your logs are not additionally protected, it is also recommended that you update those secrets.

debian логотип

CVE-2024-45784

CVSS3: 7.5
debian
около 1 года назад

Apache Airflow versions before 2.10.3 contain a vulnerability that cou ...

github логотип

GHSA-46c3-5xc5-wwhv

CVSS3: 7.5
github
около 1 года назад

Apache Airflow: Sensitive configuration values are not masked in the logs by default

EPSS

Процентиль: 73%
0.00782
Низкий

7.5 High

CVSS3

7.8 High

CVSS2