Конечная точка Apache Airflow с 3.1.0 по 3.1.7 /ui/dependents возвращает полный граф зависимостей DAG без фильтрации по авторизованным идентификаторам DAG. Это позволяет аутентифицированному пользователю с разрешением только на зависимости DAG перечислять группы DAG, на просмотр которых у него нет прав.
Пользователям рекомендуется выполнить обновление до Apache Airflow 3.1.8 или более поздней версии, что решит эту проблему.
Показать оригинальное описание (EN)
Apache Airflow versions 3.1.0 through 3.1.7 /ui/dependencies endpoint returns the full DAG dependency graph without filtering by authorized DAG IDs. This allows an authenticated user with only DAG Dependencies permission to enumerate DAGs they are not authorized to view. Users are recommended to upgrade to Apache Airflow 3.1.8 or later, which resolves this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Airflow
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*
|
3.0.0
|
3.1.8
|