Vulnerabilidad en Apache Airflow Pinot (CVE-2022-38649)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
22/11/2022
Última modificación:
29/04/2025
Descripción
Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ('inyección de comando del sistema operativo') en el proveedor Apache Airflow Pinot. Apache Airflow permite a un atacante controlar los comandos ejecutados en el contexto de ejecución de la tarea, sin acceso de escritura a los archivos DAG. Este problema afecta a las versiones del proveedor Apache Airflow Pinot anteriores a la 4.0.0. También afecta a cualquier versión de Apache Airflow anterior a la 2.3.0 en caso de que Apache Airflow Pinot Provider esté instalado (Apache Airflow Pinot Provider 4.0.0 solo se puede instalar para Airflow 2.3.0+). Tenga en cuenta que debe instalar manualmente Pinot Provider versión 4.0.0 para eliminar la vulnerabilidad además de la versión Airflow 2.3.0+.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 2.3.0 (excluyendo) | |
| cpe:2.3:a:apache:apache-airflow-providers-apache-pinot:*:*:*:*:*:*:*:* | 4.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página