一、 漏洞 CVE-2024-45033 基础信息
漏洞标题
Apache Airflow Fab Provider: 应用程序在通过 Airflow 命令行界面更改密码后不会失效会话
来源:AIGC 神龙大模型
漏洞描述信息
Apache Airflow Fab Provider 存在会话失效不足漏洞。 该问题影响 Apache Airflow Fab Provider:1.5.2 之前的版本。 当使用管理员命令行界面 (CLI) 更改用户密码时,该用户的会话并未清除,导致会话失效不足,从而使已登录用户即使在密码更改后仍能继续登录。此问题仅在使用 CLI 更改密码时发生。如果通过 Web 服务器更改密码,则不会出现此问题,因此这与 CVE-2023-40273(https://github.com/advisories/GHSA-pm87-24wq-r8w9)不同,后者已在 Apache-Airflow 2.7.0 中解决。 建议用户升级到 1.5.2 版本,以修复该问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
不充分的会话过期机制
来源:AIGC 神龙大模型
漏洞标题
Apache Airflow Fab Provider: Application does not invalidate session after password change via Airflow cli
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Insufficient Session Expiration vulnerability in Apache Airflow Fab Provider. This issue affects Apache Airflow Fab Provider: before 1.5.2. When user password has been changed with admin CLI, the sessions for that user have not been cleared, leading to insufficient session expiration, thus logged users could continue to be logged in even after the password was changed. This only happened when the password was changed with CLI. The problem does not happen in case change was done with webserver thus this is different from  CVE-2023-40273 https://github.com/advisories/GHSA-pm87-24wq-r8w9  which was addressed in Apache-Airflow 2.7.0 Users are recommended to upgrade to version 1.5.2, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的会话过期机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Airflow 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow 1.5.2之前版本存在安全漏洞,该漏洞源于用户密码通过admin CLI更改时未清除该用户的会话,导致会话过期不足。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45033 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-45033 的情报信息