1. 墨知首页
  2. 漏洞

Apache Airflow 渲染模版配置泄露漏洞 (CVE-2023-40712)

漏洞
漏洞类型 通过发送数据的信息暴露 发现时间 2023-09-12 漏洞等级 中危
MPS编号 MPS-dva6-4mre CVE编号 CVE-2023-40712 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。
在受影响版本中,当DAG任务运行时,由于日期解析存在缺陷,有权限访问平台任务的攻击者可能构造恶意的url,利用渲染模版读取 DAG 中的敏感配置文件,导致泄露UI中打码的配置密钥信息。
恶意构造的URL如:/rendered-templates?dag_id=tutorial_taskflow_api&task_id=extract&execution_date=2023-08-17T16%3A15%3A08.189107+00%3A00
参考链接:https://www.oscs1024.com/hd/MPS-dva6-4mre

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
apache-airflow (-∞, 2.7.1) 更新 将组件 apache-airflow 升级到2.7.1或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-dva6-4mre

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-dva6-4mre

https://nvd.nist.gov/vuln/detail/CVE-2023-40712

https://github.com/apache/airflow/pull/33516

https://github.com/apache/airflow/pull/33516/commits/99f75a6bf0bcb8e47c9633ab4614a4c4b54b6763

https://www.openwall.com/lists/oss-security/2023/09/12/1

(0)
上一篇 2023年9月11日 下午12:00
下一篇 2023年9月13日 下午12:00

相关推荐

  • IP包isPublic函数判断不严 (CVE-2023-42282) 漏洞

    IP包isPublic函数判断不严 (CVE-2023-42282)

    漏洞类型 对数据真实性的验证不充分 发现时间 2024-02-09 漏洞等级 中危 MPS编号 MPS-svdp-96t3 CVE编号 CVE-2023-42282 漏洞影响广度 小 漏洞危害 OSCS 描述 NPM IP包v.1.1.8及之前版本中isPublic()函数针未正确判断16进制形式的IP地址,当应用使用isPublic()函数判断内外网地址时…

    2024年2月12日
    0

  • OpenAPI Generator Online<7.6.0 存在路径遍历漏洞 (CVE-2024-35219)

    漏洞类型 路径遍历 发现时间 2024-05-29 漏洞等级 高危 MPS编号 MPS-k3b4-cqrh CVE编号 CVE-2024-35219 漏洞影响广度 漏洞危害 OSCS 描述 OpenAPI Generator Online 是基于 OpenAPI 规范的代码生成器服务,旨在帮助开发人员生成客户端 SDK、服务器端代码、API 文档等。 受影响…

    漏洞 2024年5月30日
    0
  • GitLab 账号接管漏洞 (CVE-2023-7028) 漏洞

    GitLab 账号接管漏洞 (CVE-2023-7028)

    漏洞类型 从非可信控制范围包含功能例程 发现时间 2024-01-12 漏洞等级 严重 MPS编号 MPS-vbt9-zgx1 CVE编号 CVE-2023-7028 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台 GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许…

    2024年1月12日
    0
  • JEECG jeecgFormDemoController接口存在任意代码执行漏洞 (CVE-2023-49442) 漏洞

    JEECG jeecgFormDemoController接口存在任意代码执行漏洞 (CVE-2023-49442)

    漏洞类型 反序列化 发现时间 2024-01-04 漏洞等级 严重 MPS编号 MPS-o8a2-7rik CVE编号 CVE-2023-49442 漏洞影响广度 小 漏洞危害 OSCS 描述 JEECG(J2EE Code Generation) 是开源的代码生成平台,最新 4.0 版本发布于 2019年8月5日,目前已停止维护。 JEECG 4.0及之前…

    2024年1月5日
    0
  • Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819) 漏洞

    Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-11-08 漏洞等级 中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台,它提供了许多功能,包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

    2023年11月8日
    0