apache-airflow-providers-mongo SSL证书验证不当漏洞 (CVE-2024-25141)

漏洞类型 证书验证不恰当 发现时间 2024-02-21 漏洞等级 低危
MPS编号 MPS-qd75-4bfu CVE编号 CVE-2024-25141 漏洞影响广度

漏洞危害

OSCS 描述
apache-airflow-providers-mongo 是 Apache Airflow 用于连接和操作MongoDB数据库的组件。
apache-airflow-providers-mongo 4.0.0之间版本中,当为 Mongo Hook 启用SSL(ssl=true)来加密客户端和服务器之间的通信时,默认配置了 allow_insecure 为 True,导致SSL证书验证被绕过。即使通信被加密,攻击者仍可通过中间人攻击拦截或篡改传输的数据。
参考链接:https://www.oscs1024.com/hd/MPS-qd75-4bfu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
apache-airflow-providers-mongo [1.0.0, 4.0.0) 升级 将组件 apache-airflow-providers-mongo 升级至 4.0.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-qd75-4bfu

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qd75-4bfu

https://nvd.nist.gov/vuln/detail/CVE-2024-25141

https://github.com/apache/airflow/pull/37214

https://github.com/apache/airflow/commit/775a5abaddca1ca193668af00eac94337a56dc0b

(0)
上一篇 2024年2月21日 上午10:00
下一篇 2024年2月22日 下午12:00

相关推荐

  • Apache InLong < 1.12.0 JDBC反序列化漏洞 (CVE-2024-26579)

    漏洞类型 反序列化 发现时间 2024-05-09 漏洞等级 高危 MPS编号 MPS-7rbq-ze46 CVE编号 CVE-2024-26579 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,用于业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于 MySQLSensitiveUrlUtils…

    漏洞 2024年5月10日
    0
  • Apache Airflow信息泄漏漏洞 (CVE-2023-45348)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-10-14 漏洞等级 高危 MPS编号 MPS-ovuh-jial CVE编号 CVE-2023-45348 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow是一个开源的、分布式的任务调度和工作流自动化平台,可用于编排、调度和监控数据处理任务和数据流。”expose_co…

    2023年10月16日
    0
  • Apache Tomcat FORM 重定向漏洞 (CVE-2023-41080)

    漏洞类型 跨站重定向 发现时间 2023-08-26 漏洞等级 低危 MPS编号 MPS-uy56-j8e4 CVE编号 CVE-2023-41080 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Tomcat 是一款开源的 Web 应用服务器 在受影响版本中,由于在FORM身份验证中没有对认证后重定向的页面做验证,攻击者可以构造恶意的URL,使…

    2023年9月4日
    0
  • Oracle WebLogic T3/IIOP协议远程代码执行漏洞 (CVE-2024-21006)

    漏洞类型 反序列化 发现时间 2024-04-17 漏洞等级 高危 MPS编号 MPS-4q59-ecuw CVE编号 CVE-2024-21006 漏洞影响广度 一般 漏洞危害 OSCS 描述 Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件。 在WebLogic Server12.2…

    漏洞 2024年4月22日
    0
  • Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

    漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危 MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJS…

    2023年12月28日
    0