Vulnerabilidad en Airflow (CVE-2024-31869)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
18/04/2024
Última modificación:
13/03/2025
Descripción
Las versiones 2.7.0 a 2.8.4 de Airflow tienen una vulnerabilidad que permite a un usuario autenticado ver la configuración confidencial del proveedor a través de la página de interfaz de usuario "configuración" cuando se configuró "solo no confidencial" como configuración "webserver.expose_config" (el proveedor de apio es el único proveedor comunitario actualmente que tiene configuraciones confidenciales). Deberías migrar a Airflow 2.9 o cambiar tu configuración "expose_config" a False como workaround. Esto es similar, pero diferente a CVE-2023-46288 https://github.com/advisories/GHSA-9qqg-mh7c-chfq, que se refería a la API, no a la página de configuración de la UI.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 2.7.0 (incluyendo) | 2.9.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/04/17/10
- https://github.com/apache/airflow/pull/38795
- https://lists.apache.org/thread/pz6vg7wcjk901rmsgt86h76g6kfcgtk3
- http://www.openwall.com/lists/oss-security/2024/04/17/10
- https://github.com/apache/airflow/pull/38795
- https://lists.apache.org/thread/pz6vg7wcjk901rmsgt86h76g6kfcgtk3