漏洞标题
Apache Airflow: DAG资源的不正确访问控制
漏洞描述信息
Apache Airflow 2.8.0 之前的版本中包含一个安全漏洞,允许具有某些 DAG 有限访问权限的授权用户编写请求,将用户对不同用户没有访问的 DAG 资源具有写入权限,从而使用户能够清除他们不应该清除的 DAG。
这是 Apache Airflow 2.7.2 中CVE-2023-42792漏洞的一个缺失修复。
Apache Airflow 的用户强烈建议升级到2.8.0或 newer版本,以减轻与这个漏洞相关的风险。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
漏洞类别
授权机制缺失
漏洞标题
Apache Airflow: Improper access control to DAG resources
漏洞描述信息
Apache Airflow, in versions prior to 2.8.0, contains a security vulnerability that allows an authenticated user with limited access to some DAGs, to craft a request that could give the user write access to various DAG resources for DAGs that the user had no access to, thus, enabling the user to clear DAGs they shouldn't.
This is a missing fix for CVE-2023-42792 in Apache Airflow 2.7.2
Users of Apache Airflow are strongly advised to upgrade to version 2.8.0 or newer to mitigate the risk associated with this vulnerability.
CVSS信息
N/A
漏洞类别
将资源暴露给错误范围
漏洞标题
Apache Airflow 安全漏洞
漏洞描述信息
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow 2.8.0之前版本存在安全漏洞,该漏洞源于允许经过身份验证的用户获得对各种DAG资源的写访问权限。
CVSS信息
N/A
漏洞类别
其他