Версии Apache Airflow с 3.1.0 по 3.1.6 содержат ошибку авторизации, которая может позволить аутентифицированному пользователю с настраиваемыми разрешениями, ограниченными доступом к задачам, просматривать журналы задач, не имея доступа к журналам задач.
Пользователям рекомендуется выполнить обновление до Apache Airflow 3.1.7 или более поздней версии, что решит эту проблему.
Показать оригинальное описание (EN)
Apache Airflow versions 3.1.0 through 3.1.6 contain an authorization flaw that can allow an authenticated user with custom permissions limited to task access to view task logs without having task log access. Users are recommended to upgrade to Apache Airflow 3.1.7 or later, which resolves this issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1