| 漏洞类型 | 未授权敏感信息泄露 | 发现时间 | 2023/6/19 | 漏洞等级 | 低危 |
| MPS编号 | MPS-0dkb-4v51 | CVE编号 | CVE-2023-35005 | 漏洞影响广度 | 一般 |
漏洞危害
| OSCS 描述 |
| Apache Airflow 是一个开源的平台,可用于开发、调度和监控批处理工作流。在 Apache Airflow 受影响版本中。当配置文件中存在敏感信息,并且config.yaml配置文件中 [webserver] expose_config 选项没有设置为 true 时,会将配置文件中的敏感信息暴露给用户。 参考链接:https://www.oscs1024.com/hd/MPS-0dkb-4v51 |
| Apache pony mail 描述 |
| 在 Apache Airflow 中,在某些情况下会向用户显示一些潜在的敏感值。 默认情况下,配置不会显示在 UI 中(仅当“[webserver] Exposure_config”设置为“non-sensitive-only”),并且并非所有未经审查的值实际上都是敏感的,因此可以缓解此漏洞。 此问题影响 Apache Airflow:从 2.5.0 到 2.6.2。 参考链接:https://lists.apache.org/thread/o4f2cxh0054m9tlxpb81c1yhylor5gjd |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| apache-airflow@[2.5.0, 2.6.2) | 缓解措施 | 将config.yaml配置文件中[webserver] expose_config 设置为 false |
| 参考链接:https://www.oscs1024.com/hd/MPS-0dkb-4v51 | ||
Apache pony mail 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| Apache Airflow 2.5.0 before 2.6.2 | 暂无 | 暂无 |
| 参考链接:https://lists.apache.org/thread/o4f2cxh0054m9tlxpb81c1yhylor5gjd | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查 使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查 使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查 使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-0dkb-4v51
https://nvd.nist.gov/vuln/detail/CVE-2023-35005
https://github.com/apache/airflow/pull/31820/commits/861dbce73931a71b57bd386a72d87b00884e8817
https://lists.apache.org/thread/o4f2cxh0054m9tlxpb81c1yhylor5gjd