CVE-2020-11981

Опубликовано: 17 июл. 2020

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Критический

Описание

An issue was found in Apache Airflow versions 1.10.10 and below. When using CeleryExecutor, if an attacker can connect to the broker (Redis, RabbitMQ) directly, it is possible to inject commands, resulting in the celery worker running arbitrary commands.

Ссылки

https://lists.apache.org/thread.html/r7255cf0be3566f23a768e2a04b40fb09e52fcd1872695428ba9afe91%40%3Cusers.airflow.apache.org%3E
Mailing List
Vendor Advisory
https://lists.apache.org/thread.html/r7255cf0be3566f23a768e2a04b40fb09e52fcd1872695428ba9afe91%40%3Cusers.airflow.apache.org%3E
Mailing List
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*

Версия до 1.10.10 (включая)

EPSS

Процентиль: 100%

0.91588

Критический

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78

Связанные уязвимости

CVE-2020-11981

CVSS3: 9.8

debian

больше 5 лет назад

An issue was found in Apache Airflow versions 1.10.10 and below. When ...

GHSA-976r-qfjj-c24w

CVSS3: 9.8

github

больше 5 лет назад

Command injection via Celery broker in Apache Airflow

BDU:2022-04643

CVSS3: 9.8

fstec

больше 5 лет назад

Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнять произвольные команды

EPSS

Процентиль: 100%

0.91588

Критический

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78