CVE-2023-51702 in Airflowالمعلومات

الملخص

بحسب VulDB • 12/07/2026

منذ الإصدار 5.2.0، عند استخدام وضع التأجيل (deferrable mode) مع مسار ملف تكوين Kubernetes للمصادقة، يقوم عامل Airflow بتسلسل هذا الملف التكويني كقاموس وإرساله إلى خدمة المُشغِّل (triggerer) عن طريق تخزينه في البيانات الوصفية دون أي تشفير. بالإضافة إلى ذلك، إذا تم الاستخدام مع إصدار من Airflow يتراوح بين 2.3.0 و2.6.0، فسيتم تسجيل قاموس التكوين كنص واضح في سجلات خدمة المُشغِّل دون إخفاء أو تغطية للبيانات الحساسة. يتيح هذا لأي شخص لديه وصول إلى البيانات الوصفية (metadata) أو سجلات المُشغِّل الحصول على ملف التكوين واستخدامه للوصول إلى مجموعة عمل Kubernetes.

تم تغيير هذا السلوك في الإصدار 7.0.0، الذي توقف عن تسلسل محتويات الملف وبدأ بتوفير مسار الملف بدلاً من ذلك لقراءة المحتويات داخل المُشغِّل. يُنصح المستخدمين بالترقية إلى الإصدار 7.0.0، والذي يصلح هذه المشكلة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

حجز

21/12/2023

إفشاء

24/01/2024

الاعتدال

تمت الموافقة

إدخال

VDB-251953

EPSS

0.00381

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!