Vulnerabilidad en Apache Airflow (CVE-2023-47265)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/12/2023
Última modificación:
13/02/2025
Descripción
Apache Airflow, desde versiones 2.6.0 a 2.7.3, tiene una vulnerabilidad de XSS almacenado que permite a un autor de DAG agregar un javascript ilimitado y no sanitizado en el campo de descripción de parámetros del DAG. Este Javascript se puede ejecutar en el lado del cliente de cualquiera de los usuarios que mira las tareas en la sandbox del navegador. Si bien este problema no permite salir de la sandbox del navegador ni manipular los datos del lado del servidor (más de los que el autor del DAG ya tiene, permite modificar lo que el usuario que mira los detalles del DAG ve en el navegador), lo que abre todo tipo de problemas de posibilidades de engañar a otros usuarios. Se recomienda a los usuarios de Apache Airflow actualizar a la versión 2.8.0 o posterior para mitigar el riesgo asociado con esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.7.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/12/21/2
- https://github.com/apache/airflow/pull/35460
- https://lists.apache.org/thread/128f3zl375vb1qv93k82zhnwkpl233pr
- http://www.openwall.com/lists/oss-security/2023/12/21/2
- https://github.com/apache/airflow/pull/35460
- https://lists.apache.org/thread/128f3zl375vb1qv93k82zhnwkpl233pr