CVE-2020-11982

Опубликовано: 17 июл. 2020

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

An issue was found in Apache Airflow versions 1.10.10 and below. When using CeleryExecutor, if an attack can connect to the broker (Redis, RabbitMQ) directly, it was possible to insert a malicious payload directly to the broker which could lead to a deserialization attack (and thus remote code execution) on the Worker.

Ссылки

https://lists.apache.org/thread.html/r7255cf0be3566f23a768e2a04b40fb09e52fcd1872695428ba9afe91%40%3Cusers.airflow.apache.org%3E
Mailing List
Vendor Advisory
https://lists.apache.org/thread.html/r7255cf0be3566f23a768e2a04b40fb09e52fcd1872695428ba9afe91%40%3Cusers.airflow.apache.org%3E
Mailing List
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*

Версия до 1.10.10 (включая)

EPSS

Процентиль: 90%

0.05664

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502

Связанные уязвимости

CVE-2020-11982

CVSS3: 9.8

debian

больше 5 лет назад

An issue was found in Apache Airflow versions 1.10.10 and below. When ...

GHSA-9g2w-5f3v-mfmm

CVSS3: 9.8

github

больше 5 лет назад

Insecure default config of Celery worker in Apache Airflow

BDU:2022-04611

CVSS3: 9.8

fstec

больше 5 лет назад

Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

EPSS

Процентиль: 90%

0.05664

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502