Авторы Dag, которые обычно не имеют возможности выполнять код в контексте веб-сервера, могут создать полезную нагрузку XCom, заставляющую веб-сервер выполнять произвольный код. Поскольку авторы Dag уже пользуются большим доверием, серьезность этой проблемы низкая.
Пользователям рекомендуется выполнить обновление до Apache Airflow 3.2.0, что решает эту проблему.
Показать оригинальное описание (EN)
Dag Authors, who normally should not be able to execute code in the webserver context could craft XCom payload causing the webserver to execute arbitrary code. Since Dag Authors are already highly trusted, severity of this issue is Low. Users are recommended to upgrade to Apache Airflow 3.2.0, which resolves this issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Airflow
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*
|
3.1.8
|
3.2.0
|