一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Airflow 权限管理不当(CVE-2023-42781)公告。
1.1 漏洞描述
Apache Airflow是⼀个开源的、分布式的任务调度和⼯作流⾃动化平台,可⽤于编排、调度和监控数据处理任务和数据流。
Apache Airflow 在 2.7.3 版本之前存在权限管理不当。当攻击者拥有读取特定DAG访问权限的⽤⼾凭证时,可以读取特定DAG以外的其他DAG任务实例信息。该漏洞与CVE2023-42663漏洞不同,但造成的结果相同。
1.2漏洞编号
CVE-2023-42781
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
Apache Airflow < 2.7.3
2.2修复建议
目前官方已发布新版本来修复此漏洞,并且为受影响版本发布了补丁,建议用户尽快升级至最新版本。
官方下载地址:
https://github.com/apache/airflow/releases