В Apache Airflow версий 3.1.0–3.1.7 отсутствует уязвимость авторизации в конечных точках Human-in-the-Loop (HITL) API выполнения, которая позволяет любому проверенному экземпляру задачи читать, утверждать или отклонять рабочие процессы HITL, принадлежащие любому другому экземпляру задачи.
Пользователям рекомендуется выполнить обновление до Apache Airflow 3.1.8 или более поздней версии, что решит эту проблему.
Показать оригинальное описание (EN)
Apache Airflow versions 3.1.0 through 3.1.7 missing authorization vulnerability in the Execution API's Human-in-the-Loop (HITL) endpoints that allows any authenticated task instance to read, approve, or reject HITL workflows belonging to any other task instance. Users are recommended to upgrade to Apache Airflow 3.1.8 or later, which resolves this issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Airflow
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*
|
3.1.0
|
3.1.8
|