漏洞标题
Apache Airflow: DAG/trigger 缺少 CSRF 保护
漏洞描述信息
Apache Airflow,版本2.7.0至2.7.3,存在一个漏洞,允许攻击者在未经CSRF验证的GET请求中触发DAG。因此,在同一浏览器上打开的恶意网站 - 由也打开了Airflow UI的用户打开 - 有可能在不获得用户同意的情况下触发DAG的执行。
用户建议升级到2.8.0或更高版本的Airflow。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:H
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
Apache Airflow: Missing CSRF protection on DAG/trigger
漏洞描述信息
Apache Airflow, version 2.7.0 through 2.7.3, has a vulnerability that allows an attacker to trigger a DAG in a GET request without CSRF validation. As a result, it was possible for a malicious website opened in the same browser - by the user who also had Airflow UI opened - to trigger the execution of DAGs without the user's consent.
Users are advised to upgrade to version 2.8.0 or later which is not affected
CVSS信息
N/A
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
Apache Airflow 跨站请求伪造漏洞
漏洞描述信息
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow 2.7.0版本至2.7.3版本存在跨站请求伪造漏洞,该漏洞源于允许攻击者在未经跨站请求伪造(CSRF)验证的情况下在GET请求中触发DAG。
CVSS信息
N/A
漏洞类别
跨站请求伪造