漏洞公告 | Apache Airflow 存在多个漏洞
近日,华云安安全团队发现了Apache发布安全公告,修复了2个存在于Airflow中的安全漏洞。对此,华云安建议用户及时更新修复。
【漏洞名称】Apache Airflow 存在多个漏洞
【漏洞编号】CVE-2022-40754,CVE-2022-40604
【风险等级】高危
【影响版本】
2.3.0 <= Apache Airflow < 2.4.0
【威胁描述】
l CVE-2022-40754 :Apache Airflow 存在开放重定向漏洞
该漏洞由于/confirm 端点未对url 进行过滤导致存在开放重定向漏洞,攻击者可利用此漏洞进行网络钓鱼攻击。
l CVE-2022-40604 :Apache Airflow 存在格式化字符串漏洞
该漏洞由于对 url 中的部分内容进行不必要的格式化,导致攻击者可利用此漏洞对 url 字符串进行信息提取,从而获取系统敏感信息。
【应对措施】
官方已发布更新修复,参考链接如下:
https://github.com/apache/airflow/releases
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论