Уязвимость неправильной проверки сертификата в поставщике Apache Airflow для блоков данных. Код поставщика не проверял сертификаты для подключений к серверной части Databricks, что могло привести к атаке «человек-посредник», в результате которой трафик перехватывается и манипулируется, а учетные данные похищаются без предварительного уведомления. Эта проблема затрагивает поставщика Apache Airflow для блоков данных: с 1.10.0 до 1.12.0.
Пользователям рекомендуется выполнить обновление до версии 1.12.0, которая устраняет проблему.
Показать оригинальное описание (EN)
Improper Certificate Validation vulnerability in Apache Airflow Provider for Databricks. Provider code did not validate certificates for connections to Databricks back-end which could result in a man-of-a-middle attack that traffic is intercepted and manipulated or credentials exfiltrated w/o notice. This issue affects Apache Airflow Provider for Databricks: from 1.10.0 before 1.12.0. Users are recommended to upgrade to version 1.12.0, which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1