Описание
Arbitrary code execution in Apache Airflow CNCF Kubernetes provider version 5.0.0 allows user to change xcom sidecar image and resources via Airflow connection.
In order to exploit this weakness, a user would already need elevated permissions (Op or Admin) to change the connection object in this manner. Operators should upgrade to provider version 7.0.0 which has removed the vulnerability.
Ссылки
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 5.0.0 (включая) до 7.0.0 (исключая)
cpe:2.3:a:apache:airflow_cncf_kubernetes:*:*:*:*:*:*:*:*
EPSS
Процентиль: 52%
0.00289
Низкий
7.2 High
CVSS3
Дефекты
CWE-74
Связанные уязвимости
CVSS3: 7.2
github
больше 2 лет назад
Apache Airflow CNCF Kubernetes Provider: KubernetesPodOperator RCE via connection configuration
CVSS3: 7.2
fstec
больше 2 лет назад
Уязвимость сетевого программного средства Apache Airflow CNCF Kubernetes Provider, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 52%
0.00289
Низкий
7.2 High
CVSS3
Дефекты
CWE-74