Vulnerabilidad en Apache Airflow (CVE-2023-37379)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
23/08/2023
Última modificación:
13/02/2025
Descripción
Apache Airflow, en versiones anteriores a la 2.7.0, contiene una vulnerabilidad de seguridad que puede ser explotada por un usuario autenticado que posea privilegios de edición de conexión. Esta vulnerabilidad permite al usuario acceder a la información de conexión y explotar la función de conexión de prueba enviando muchas peticiones, lo que provoca una denegación de servicio (DoS) en el servidor. Además, actores maliciosos pueden aprovechar esta vulnerabilidad para establecer conexiones dañinas con el servidor. Se recomienda encarecidamente a los usuarios de Apache Airflow que actualicen a la versión 2.7.0 o posterior para mitigar el riesgo asociado a esta vulnerabilidad. Además, se recomienda a los administradores que revisen y ajusten los permisos de usuario para restringir el acceso a funcionalidades sensibles, reduciendo la superficie de ataque.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 2.7.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/08/23/4
- https://github.com/apache/airflow/pull/32052
- https://lists.apache.org/thread/g5c9vcn27lr14go48thrjpo6f4vw571r
- http://www.openwall.com/lists/oss-security/2023/08/23/4
- https://github.com/apache/airflow/pull/32052
- https://lists.apache.org/thread/g5c9vcn27lr14go48thrjpo6f4vw571r