Версии Apache Airflow до 3.1.7 имеют уязвимость, которая позволяет аутентифицированным пользователям пользовательского интерфейса с разрешением на один или несколько конкретных дагов просматривать ошибки импорта, созданные другими дагами, к которым у них не было доступа.
Пользователям рекомендуется выполнить обновление до версии 3.1.7 или более поздней, что решит эту проблему.
Показать оригинальное описание (EN)
Apache Airflow versions before 3.1.7, has vulnerability that allows authenticated UI users with permission to one or more specific Dags to view import errors generated by other Dags they did not have access to. Users are advised to upgrade to 3.1.7 or later, which resolves this issue
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1