1. 墨知首页
  2. 漏洞

Apache Airflow 渲染模版配置泄露漏洞 (CVE-2023-40712)

漏洞
漏洞类型 通过发送数据的信息暴露 发现时间 2023-09-12 漏洞等级 中危
MPS编号 MPS-dva6-4mre CVE编号 CVE-2023-40712 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。
在受影响版本中,当DAG任务运行时,由于日期解析存在缺陷,有权限访问平台任务的攻击者可能构造恶意的url,利用渲染模版读取 DAG 中的敏感配置文件,导致泄露UI中打码的配置密钥信息。
恶意构造的URL如:/rendered-templates?dag_id=tutorial_taskflow_api&task_id=extract&execution_date=2023-08-17T16%3A15%3A08.189107+00%3A00
参考链接:https://www.oscs1024.com/hd/MPS-dva6-4mre

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
apache-airflow (-∞, 2.7.1) 更新 将组件 apache-airflow 升级到2.7.1或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-dva6-4mre

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-dva6-4mre

https://nvd.nist.gov/vuln/detail/CVE-2023-40712

https://github.com/apache/airflow/pull/33516

https://github.com/apache/airflow/pull/33516/commits/99f75a6bf0bcb8e47c9633ab4614a4c4b54b6763

https://www.openwall.com/lists/oss-security/2023/09/12/1

(0)
上一篇 2023年9月11日 下午12:00
下一篇 2023年9月13日 下午12:00

相关推荐

  • runc <1.2.0-rc.1 systemd属性注入漏洞 (CVE-2024-3154)

    漏洞类型 命令注入 发现时间 2024-04-27 漏洞等级 高危 MPS编号 MPS-617x-mejs CVE编号 CVE-2024-3154 漏洞影响广度 一般 漏洞危害 OSCS 描述 CRI-O 是一款开源的、用于Kubernetes系统的轻量级容器运行时环境,runc 是 CRI-O 中用于创建和运行容器的工具。 runc 受影响版本中由于未对 …

    漏洞 2024年4月28日
    0
  • VMware Aria Operations SSH 身份验证绕过漏洞 (CVE-2023-34039) 漏洞

    VMware Aria Operations SSH 身份验证绕过漏洞 (CVE-2023-34039)

    漏洞类型 身份验证不当 发现时间 2023-08-30 漏洞等级 严重 MPS编号 MPS-d9wr-56qm CVE编号 CVE-2023-34039 漏洞影响广度 广 漏洞危害 OSCS 描述 VMware Aria Operations for Networks 是 VMware 公司提供的一款网络可视性和分析工具,用于优化网络性能或管理各种VMwar…

    2023年9月1日
    0

  • Apache OFBiz 目录遍历导致RCE漏洞 (CVE-2024-32113)

    漏洞类型 路径遍历 发现时间 2024-05-08 漏洞等级 严重 MPS编号 MPS-whuo-m9s3 CVE编号 CVE-2024-32113 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统,OFBiz支持运行Groovy代码用于编程导出数据。 在18.12.13之前的版本中,ControlFilt…

    漏洞 2024年5月10日
    0
  • Apache Dubbo 反序列化漏洞 (CVE-2023-29234) 漏洞

    Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危 MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 受影响版本中,由于 ObjectInput.java 文件中 readThrowable …

    2023年12月18日
    0

  • PHP CGI Windows下远程代码执行漏洞 (CVE-2024-4577)

    漏洞类型 输入验证不恰当 发现时间 2024-06-07 漏洞等级 高危 MPS编号 MPS-wk9q-5g71 CVE编号 CVE-2024-4577 漏洞影响广度 漏洞危害 OSCS 描述 PHP是一种在服务器端执行的脚本语言。 在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 “Best-Fit Mapping…

    漏洞 2024年6月7日
    0