Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Airflow HDFS (CVE-2023-41267)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/09/2023
Última modificación:
13/02/2025

Descripción

En el proveedor Apache Airflow HDFS, versiones anteriores a la 4.1.1, una información de documentación señalaba a los usuarios una instalación de paquete pip incorrecto. Como este nombre de paquete no fue reclamado, en teoría, un atacante podría reclamar este paquete y proporcionar el código que se ejecutaría cuando se instalara este paquete. Desde entonces, el equipo de Airflow se hizo cargo del paquete (neutralizando el riesgo) y corrigió las cadenas de documentos en la versión 4.1.1.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:airflow_hdfs_provider:*:*:*:*:*:*:*:* 4.1.1 (excluyendo)