Vulnerabilidad en Apache Airflow (CVE-2023-39441)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
23/08/2023
Última modificación:
29/08/2023
Descripción
Apache Airflow SMTP Provider antes de 1.3.0, Apache Airflow IMAP Provider antes de 3.3.0, y Apache Airflow antes de 2.7.0 están afectados por la vulnerabilidad Validation of OpenSSL Certificate. El contexto SSL por defecto con la librería SSL no comprobaba el certificado X.509 de un servidor. En su lugar, el código aceptaba cualquier certificado, lo que podía dar lugar a la revelación de credenciales del servidor de correo o del contenido del correo cuando el cliente se conectaba a un atacante en posición MITM. Se recomienda encarecidamente a los usuarios que actualicen a Apache Airflow versión 2.7.0 o posterior, Apache Airflow IMAP Provider versión 3.3.0 o posterior y Apache Airflow SMTP Provider versión 1.3.0 o posterior para mitigar el riesgo asociado a esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 2.7.0 (excluyendo) | |
| cpe:2.3:a:apache:apache-airflow-providers-imap:*:*:*:*:*:*:*:* | 3.3.0 (excluyendo) | |
| cpe:2.3:a:apache:apache-airflow-providers-smtp:*:*:*:*:*:*:*:* | 1.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página