apache-airflow-providers-mongo SSL证书验证不当漏洞 (CVE-2024-25141)

漏洞类型 证书验证不恰当 发现时间 2024-02-21 漏洞等级 低危
MPS编号 MPS-qd75-4bfu CVE编号 CVE-2024-25141 漏洞影响广度

漏洞危害

OSCS 描述
apache-airflow-providers-mongo 是 Apache Airflow 用于连接和操作MongoDB数据库的组件。
apache-airflow-providers-mongo 4.0.0之间版本中,当为 Mongo Hook 启用SSL(ssl=true)来加密客户端和服务器之间的通信时,默认配置了 allow_insecure 为 True,导致SSL证书验证被绕过。即使通信被加密,攻击者仍可通过中间人攻击拦截或篡改传输的数据。
参考链接:https://www.oscs1024.com/hd/MPS-qd75-4bfu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
apache-airflow-providers-mongo [1.0.0, 4.0.0) 升级 将组件 apache-airflow-providers-mongo 升级至 4.0.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-qd75-4bfu

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qd75-4bfu

https://nvd.nist.gov/vuln/detail/CVE-2024-25141

https://github.com/apache/airflow/pull/37214

https://github.com/apache/airflow/commit/775a5abaddca1ca193668af00eac94337a56dc0b

(0)
上一篇 2024年2月21日 上午10:00
下一篇 2024年2月22日 下午12:00

相关推荐

  • FE业务协作平台存在文件上传漏洞 (MPS-plcb-5td0)

    漏洞类型 任意文件上传 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-plcb-5td0 CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 FE业务协同平台是飞启软件自2004年以来在行业内不断创新和突破的一款基于平台的协同办公软件。 /common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意…

    漏洞 2024年5月17日
    0
  • 禅道项目管理系统身份认证绕过风险 (MPS-djcs-koe8)

    漏洞类型 身份验证不当 发现时间 2024-04-26 漏洞等级 高危 MPS编号 MPS-djcs-koe8 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 禅道(ZenTao)项目管理系统是国产开源管理软件,提供整套工具来帮助团队管理整个软件开发生命周期,包括需求管理、迭代计划、任务分配、缺陷跟踪、文档管理和测试用例管理等功能。…

    漏洞 2024年4月26日
    0
  • Gofiber 存在CORS凭证泄露漏洞 (CVE-2024-25124)

    漏洞类型 过度许可的跨域白名单 发现时间 2024-02-22 漏洞等级 严重 MPS编号 MPS-qoe4-atu2 CVE编号 CVE-2024-25124 漏洞影响广度 广 漏洞危害 OSCS 描述 Gofiber 是一个基于Go语言的轻量级web框架。 受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Contr…

    2024年2月22日
    0
  • Apache InLong updateAuditSource方法命令注入漏洞 (CVE-2023-51784)

    漏洞类型 代码注入 发现时间 2024-01-03 漏洞等级 高危 MPS编号 MPS-81gu-tekl CVE编号 CVE-2023-51784 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计…

    2024年1月4日
    0
  • GitLab 16.9存储型XSS漏洞 (CVE-2024-1451)

    漏洞类型 XSS 发现时间 2024-02-22 漏洞等级 高危 MPS编号 MPS-32tr-yco1 CVE编号 CVE-2024-1451 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。 GitLab 受影响版本中的用户资料页面存在存储型XSS漏洞,攻击者可将恶意载荷添加到个人资料(…

    2024年2月23日
    0