Apache Airflow 错误的会话验证漏洞
- CNNVD编号:未知
- 危害等级: 中危
- CVE编号:未知
- 漏洞类型: CVE-2020-17526
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-23
- 更新时间:2021-01-13
漏洞简介
1、Apache Airflow 介绍
Airflow 是 Airbnb 开源的一个用 Python 编写的调度工具。于 2014 年启动,2015 年春季开源,2016 年加入 Apache 软件基金会的孵化计划。Airflow 通过 DAG 也即是有向非循环图来定义整个工作流,因而具有非常强大的表达能力。
2、漏洞描述
Apache 官方在2020年12月21日发布的邮件中披露Apache Airflow 存在一个由于错误处理会话验证导致的未授权访问漏洞。如果用户使用了默认的秘钥配置,攻击者就可以在其他的一个配置了默认秘钥的站点进行登录,接着以登录后的session信息直接未授权访问受害者站点。
漏洞公示
暂无
受影响实体
目前受影响的Apache Airflow版本:
Apache Airflow Web < 1.10.14
补丁
目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下: