Apache Airflow FTP Provider<3.7.0 证书验证不当风险 (CVE-2024-29733)

漏洞类型 证书验证不恰当 发现时间 2024-04-22 漏洞等级 低危
MPS编号 MPS-qvto-mpga CVE编号 CVE-2024-29733 漏洞影响广度

漏洞危害

OSCS 描述
Apache Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能,FTP Provider 组件用于Airflow与FTP服务器进行交互。
Apache Airflow FTP Provider 3.7.0之前版本中,由于 ftp#FTPSHook 方法在创建 FTP_TLS 连接时未进行证书校验,攻击者可利用该漏洞进行中间人攻击,窃取系统敏感信息。3.7.0版本在FTP_TLS实例化过程中,通过传递 context=ssl.create_default_context() 进行证书验证修复此漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-qvto-mpga

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
apache-airflow-providers-ftp [1.0.0, 3.7.0) 升级 升级apache-airflow-providers-ftp到 3.7.0 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-qvto-mpga

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qvto-mpga

https://nvd.nist.gov/vuln/detail/CVE-2024-29733

https://github.com/apache/airflow/commit/7f9e5f7a1cf79125da6a159400df258594085689

https://lists.apache.org/thread/265t5zbmtjs6h9fkw52wtp03nsbplky2

(0)
上一篇 2024年4月17日
下一篇 2024年4月22日

相关推荐

  • Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

    漏洞类型 SQL注入 发现时间 2023-11-27 漏洞等级 高危 MPS编号 MPS-iztk-bu2h CVE编号 CVE-2023-40610 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。 受影响版本中,默认情况下示例数据库表是在 Superset …

    2023年11月28日
    0
  • Telegram Windows客户端可执行文件限制不当RCE漏洞 (MPS-38wf-ilyv)

    漏洞类型 不完整的黑名单 发现时间 2024-04-13 漏洞等级 高危 MPS编号 MPS-38wf-ilyv CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 Telegram是提供开源客户端的跨平台即时通信软件。 在其客户端中通过黑名单限制Windows下可执行文件后缀,由于黑名单列表错误拼写了python zipapp后缀pyz…

    漏洞 2024年4月15日
    0
  • FE业务协作平台存在文件上传漏洞 (MPS-plcb-5td0)

    漏洞类型 任意文件上传 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-plcb-5td0 CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 FE业务协同平台是飞启软件自2004年以来在行业内不断创新和突破的一款基于平台的协同办公软件。 /common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意…

    漏洞 2024年5月17日
    0
  • LangChain langchain-experimental 任意代码执行 (CVE-2024-27444)

    漏洞类型 代码注入 发现时间 2024-02-27 漏洞等级 高危 MPS编号 MPS-1t8v-pu7m CVE编号 CVE-2024-27444 漏洞影响广度 广 漏洞危害 OSCS 描述 LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、__su…

    2024年2月27日
    0
  • Zabbix Server Audit Log SQL注入导致RCE (CVE-2024-22120)

    漏洞类型 SQL注入 发现时间 2024-05-20 漏洞等级 严重 MPS编号 MPS-ytof-ah8v CVE编号 CVE-2024-22120 漏洞影响广度 漏洞危害 OSCS 描述 Zabbix 是开源的网络监控工具,用于监控网络服务、服务器和网络设备的性能和可用性。 受影响版本中,由于 audit.c 中的 zbx_auditlog_global…

    漏洞 2024年5月21日
    0