CVE-2023-46215

Опубликовано: 28 окт. 2023

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

Insertion of Sensitive Information into Log File vulnerability in Apache Airflow Celery provider, Apache Airflow.

Sensitive information logged as clear text when rediss, amqp, rpc protocols are used as Celery result backend Note: the vulnerability is about the information exposed in the logs not about accessing the logs.

This issue affects Apache Airflow Celery provider: from 3.3.0 through 3.4.0; Apache Airflow: from 1.10.0 through 2.6.3.

Users are recommended to upgrade Airflow Celery provider to version 3.4.1 and Apache Airlfow to version 2.7.0 which fixes the issue.

Ссылки

http://www.openwall.com/lists/oss-security/2023/10/28/1
Mailing List
Third Party Advisory
https://github.com/apache/airflow/pull/34954
Patch
https://lists.apache.org/thread/wm1jfmks7r6m7bj0mq4lmw3998svn46n
Mailing List
Vendor Advisory
http://www.openwall.com/lists/oss-security/2023/10/28/1
Mailing List
Third Party Advisory
https://github.com/apache/airflow/pull/34954
Patch
https://lists.apache.org/thread/wm1jfmks7r6m7bj0mq4lmw3998svn46n
Mailing List
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*

Версия от 1.10.0 (включая) до 2.7.0 (исключая)

cpe:2.3:a:apache:airflow_celery_provider:*:*:*:*:*:*:*:*

Версия от 3.3.0 (включая) до 3.4.0 (включая)

EPSS

Процентиль: 48%

0.00253

Низкий

7.5 High

CVSS3

Дефекты

CWE-532

Связанные уязвимости

GHSA-666g-rfc5-c9jv

CVSS3: 7.5

github

больше 2 лет назад

Apache Airflow Celery provider Insertion of Sensitive Information into Log File vulnerability

BDU:2024-00579

CVSS3: 7.5

fstec

больше 2 лет назад

Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow , связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 48%

0.00253

Низкий

7.5 High

CVSS3

Дефекты

CWE-532