Описание
Incorrect Session Validation in Apache Airflow Webserver versions prior to 1.10.14 with default config allows a malicious airflow user on site A where they log in normally, to access unauthorized Airflow Webserver on Site B through the session from Site A. This does not affect users who have changed the default value for [webserver] secret_key config.
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.10.14 (исключая)
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*
EPSS
Процентиль: 100%
0.91172
Критический
7.7 High
CVSS3
3.5 Low
CVSS2
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 7.7
debian
около 5 лет назад
Incorrect Session Validation in Apache Airflow Webserver versions prio ...
CVSS3: 7.7
fstec
около 5 лет назад
Уязвимость конфигурации установки по умолчанию «[webserver] secret_key» программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю получить несанкционированный доступ к постороннему веб-серверу
EPSS
Процентиль: 100%
0.91172
Критический
7.7 High
CVSS3
3.5 Low
CVSS2
Дефекты
NVD-CWE-noinfo