Vulnerabilidad en Apache Airflow (CVE-2023-46288)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
23/10/2023
Última modificación:
13/02/2025
Descripción
Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Apache Airflow. Este problema afecta a Apache Airflow desde la versión 2.4.0 a la 2.7.0. La información de configuración confidencial se ha expuesto a usuarios autenticados con la capacidad de leer la configuración a través de la API REST de Airflow para la configuración incluso cuando la opción Expon_config está configurada como no confidencial. La opción exponen_config es False de forma predeterminada. Se recomienda actualizar a una versión que no se vea afectada si configura Expon_config en una configuración no confidencial. Este es un error diferente a CVE-2023-45348 que permite a un usuario autenticado recuperar valores de configuración individuales en 2.7.* manipulando especialmente su solicitud (resuelto en 2.7.2). Se recomienda a los usuarios actualizar a la versión 2.7.2, que soluciona el problema y además corrige CVE-2023-45348.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 2.4.0 (incluyendo) | 2.7.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/04/17/10
- https://github.com/apache/airflow/pull/32261
- https://lists.apache.org/thread/yw4vzm0c5lqkwm0bxv6qy03yfd1od4nw
- http://www.openwall.com/lists/oss-security/2024/04/17/10
- https://github.com/apache/airflow/pull/32261
- https://lists.apache.org/thread/yw4vzm0c5lqkwm0bxv6qy03yfd1od4nw