No Authentication on Logging Server 漏洞信息(CVE-2021-35936)

一、漏洞 CVE-2021-35936 基础信息

漏洞标题

logging服务器上未进行身份验证

来源：AIGC 神龙大模型

漏洞描述信息

日志服务器无身份验证

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

No Authentication on Logging Server

来源：美国国家漏洞数据库 NVD

漏洞描述信息

If remote logging is not used, the worker (in the case of CeleryExecutor) or the scheduler (in the case of LocalExecutor) runs a Flask logging server and is listening on a specific port and also binds on 0.0.0.0 by default. This logging server had no authentication and allows reading log files of DAG jobs. This issue affects Apache Airflow < 2.1.2.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

信息暴露

来源：美国国家漏洞数据库 NVD

漏洞标题

Apache Airflow 访问控制错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow 2.1.2 之前版本存在安全漏洞，该漏洞源于日志服务器没有身份验证，允许读取DAG jobs的日志文件。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-35936 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2021-35936 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-35936 的公开POC

三、漏洞 CVE-2021-35936 的情报信息

一、漏洞 CVE-2021-35936 基础信息