漏洞概述
Apache Airflow 是一个以编程方式创作、安排和监控工作流程的开源平台。
Apache Airflow 在2.4.0之前的版本中存在代码注入漏洞,具有 UI 访问权限且可以触发有向无环图 (DAG) 的攻击者可利用此漏洞手动提供恶意的 run_id 进行代码注入,从而执行任意恶意代码。
风险等级:高危
受影响版本
apache-airflow@(-∞, 2.4.0)
防御措施
升级apache-airflow到 2.4.0 或更高版本
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2022-40127
https://github.com/apache/airflow/pull/25960
https://github.com/apache/airflow/pull/25960/commits/b7e8d3ad3bd22e57529d82e1a9033b6d9f843b75
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论