Vulnerabilidad en Apache Airflow Fab Provider (CVE-2024-45033)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

08/01/2025

Última modificación:

03/06/2025

Descripción

Vulnerabilidad de caducidad insuficiente de sesión en Apache Airflow Fab Provider. Este problema afecta a Apache Airflow Fab Provider: antes de 1.5.2. Cuando se ha cambiado la contraseña de usuario con la CLI de administrador, las sesiones de ese usuario no se han borrado, lo que provoca una caducidad insuficiente de la sesión, por lo que los usuarios registrados pueden seguir conectados incluso después de cambiar la contraseña. Esto solo ocurre cuando se cambia la contraseña con la CLI. El problema no ocurre en caso de que el cambio se haya realizado con el servidor web, por lo que es diferente de CVE-2023-40273 https://github.com/advisories/GHSA-pm87-24wq-r8w9 que se abordó en Apache-Airflow 2.7.0 Se recomienda a los usuarios que actualicen a la versión 1.5.2, que soluciona el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno