Описание
Apache Airflow 2.4.0, and versions before 2.9.3, has a vulnerability that allows authenticated DAG authors to craft a doc_md parameter in a way that could execute arbitrary code in the scheduler context, which should be forbidden according to the Airflow Security model. Users should upgrade to version 2.9.3 or later which has removed the vulnerability.
Ссылки
- Issue TrackingPatch
- Mailing List
- Issue TrackingPatch
- Mailing List
Уязвимые конфигурации
Конфигурация 1Версия от 2.4.0 (включая) до 2.9.3 (исключая)
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*
EPSS
Процентиль: 19%
0.00062
Низкий
8.8 High
CVSS3
Дефекты
CWE-94
CWE-277
Связанные уязвимости
CVSS3: 8.8
debian
больше 1 года назад
Apache Airflow 2.4.0, and versions before 2.9.3, has a vulnerability t ...
CVSS3: 8.8
github
больше 1 года назад
Apache Airflow has DAG Author Code Execution possibility in airflow-scheduler
CVSS3: 7.5
fstec
больше 1 года назад
Уязвимость программное обеспечение создания, мониторинга и оркестрации сценариев обработки данных Airflow связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 19%
0.00062
Низкий
8.8 High
CVSS3
Дефекты
CWE-94
CWE-277