Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-976r-qfjj-c24w

Опубликовано: 27 июл. 2020
Источник: github
Github: Прошло ревью
CVSS4: 9.3
CVSS3: 9.8

Описание

Command injection via Celery broker in Apache Airflow

An issue was found in Apache Airflow versions 1.10.10 and below. When using CeleryExecutor, if an attacker can connect to the broker (Redis, RabbitMQ) directly, it is possible to inject commands, resulting in the celery worker running arbitrary commands.

Ссылки

Пакеты

Наименование

apache-airflow

pip
Затронутые версииВерсия исправления

< 1.10.11rc1

1.10.11rc1

EPSS

Процентиль: 100%
0.91588
Критический

9.3 Critical

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2020-11981

Дефекты

CWE-78

Связанные уязвимости

nvd логотип

CVE-2020-11981

CVSS3: 9.8
nvd
больше 5 лет назад

An issue was found in Apache Airflow versions 1.10.10 and below. When using CeleryExecutor, if an attacker can connect to the broker (Redis, RabbitMQ) directly, it is possible to inject commands, resulting in the celery worker running arbitrary commands.

debian логотип

CVE-2020-11981

CVSS3: 9.8
debian
больше 5 лет назад

An issue was found in Apache Airflow versions 1.10.10 and below. When ...

fstec логотип

BDU:2022-04643

CVSS3: 9.8
fstec
больше 5 лет назад

Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнять произвольные команды

EPSS

Процентиль: 100%
0.91588
Критический

9.3 Critical

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2020-11981

Дефекты

CWE-78